# 此題僅用於復習學習用途
一、單選題(共270題)
第一套
1.對緩沖區溢出攻擊預防沒有幫助的做法包括
A.輸入參數過濾,安全編譯選項 B.操作系統安全機制、禁止使用禁用 API
C.安全編碼教育 D.滲透測試
2.測試人員與開發人員交互測試發現的過程中,開發人員最關注的什么?
A.bug 的數量 B.bug的嚴重程度
C.bug的復現過程 D.bug修復的可行性
3.以下發現屬於Linux系統嚴重威脅的是什么?
A.發現不明的SUID可執行文件 B.發現應用的配置文件被管理員變更
C.發現有惡意程序在實時的攻擊系統 D.發現防護程序收集了很多黑客攻擊的源地址
4.《關於信息安全等級保護的實施意見》中信息和信息系統安全保護等級的第三級的定義是
A.自主保護級 B.指導保護級
C.強制保護級 D.監督保護級
5.以下哪一個不是安全審計需要具備的功能?
A.記錄關鍵事件 B.提供可集中處理審計日志的數據形式
C.實時安全報警 D.審計日志訪問控制
6.P2DR模型通過傳統的靜態安全技術和方法提高網絡的防護能力,這些技術包括?
A.實時監控技術。 B.訪問控制技術。
C.信息加密技術。 D.身份認證技術。
7.數據庫管理員執行以下那個動作可能會產生風險?
A.根據變更流程執行數據庫變更 B.安裝操作系統的補丁和更新
C.排列表空間並考慮表合並的限制 D.執行備份和恢復流程
8.什么類型的軟件應用測試被用於測試的最后階段,並且通常包含不屬於開發團隊之內的用戶成員 ?
A.Alpha 測試 B.白盒測試
C.回歸測試 D.Beta測試
9.下面哪一項不是ISMS Check階段的工作?
Tips:信息安全管理體系(ISMS)是針對任何類型的組織用於建立、實施、運行、監控、審核、維護和改進信息安全的一個政策、程序、指南以及相關資源的框架
A.安全事件響應 B.安全內部審核
C.管理評審 D.更新安全計划
10.以下有關通信與日常操作描述不正確的是?
A.信息系統的變更應該是受控的
B.企業在崗位設計和人員工作分配時應該遵循職責分離的原則
C.移動介質使用是一個管理難題,應該采取有效措施,防止信息泄漏
D.所有日常操作按照最佳實踐來進行操作,無需形成操作手冊。
11. 信息安全管理手段不包括以下哪一項
A.技術 B.流程
C.人員 D.市場
12. 以下對信息安全描述不正確的是
A.信息安全的基本要素包括保密性、完整性和可用性
B.信息安全就是保障企業信息系統能夠連續、可靠、正常地運行,使安全事件對業務造成的影響減到最小,確保組織業務運行的連續性
C.信息安全就是不出安全事故/事件
D.信息安全不僅僅只考慮防止信息泄密就可以了
13.以下對信息安全管理的描述錯誤的是
A.保密性、完整性、可用性 B.抗抵賴性、可追溯性
C.真實性私密性可靠性 D.增值性
14.以下哪個命令可以查看端口對應的PID
A.netstat -ano B.ipconfig /all
C.tracert D.netsh
15. Windows組策略適用於
Tips:S——Site(站點)、D——Domain(域)、OU——Organizition Unit(組織單位)
A.S B.D
C.O D.S、D、OU
16.下列生物識別設備,哪一項的交差錯判率(CER)最高?
A.虹膜識別設備 B.手掌識別設備
C.聲音識別設備 D.指紋識別設備
17.下列物識別設備,哪一項的交差錯判率(CER)最高?
A.虹膜識別設備 B.手掌識別設備
C.聲音識別設備 D.指紋識別設備
18.在設計業務連續性計划時,企業影響分析可以用來識別關鍵業務 流程和相應的支持程序,它主要會影響到下面哪一項內容的制定?
A.維護業務連續性計划的職責 B.選擇站點恢復供應商的條件
C.恢復策略 D.關鍵人員的職責
19.一個備份站點包括電線、空調和地板,但不包括計算機和通訊設備,那么它屬於
A.冷站 B.溫站
C.直線站點 D.鏡像站點
20.在一個業務繼續計划的模擬演練中,發現報警系統嚴重受到設施破壞。下列選項中,哪個是可以提供的最佳建議:
A.培訓救護組如何使用報警系統 B.報警系統為備份提供恢復
C.建立冗余的報警系統 D.把報警系統存放地窖里
21.下列哪一項是一個適當的測試方法適用於業務連續性計划(BCP)?
Tips:業務連續性計划是一套基於業務運行規律的管理要求和規章流程,使一個組織在突發事件面前能夠迅速作出反應,以確保關鍵業務功能可以持續,而不造成業務中斷或業務流程本質的改變。
A.試運行 B.紙面測試
C.單元 D.系統
22.由於病毒攻擊、非法入侵等原因,校園網整體癱瘓,或者校園網絡中心全部DNS、主WEB服務器不能正常工作;由於病毒攻擊、非法入侵、人為破壞或不可抗力等原因,造成校園網出口中斷,屬於以下哪種級別事件
A.特別重大事件 B.重大事件
C.較大事件 D.一般事件
23.應急響應計划文檔不應該
A.分發給公司所有人員 B.分發給參與應急響應工作的所有人員
C.具有多份拷貝在不同的地點保存 D.由專人負責保存與分發
24.哪一項不是業務影響分析(BIA)的工作內容
Tips:(Business Impact Assessment),一個企業可持續發展計划中不可缺少的組成部分。分析了干擾性風險對組織運營的影響方式,同時識別並量化了必要的風險管理能力。它包括對企業薄弱點的考察與揭示,制定企業的風險應對策略等。
A.確定應急響應的恢復目標 B.確定公司的關鍵系統和業務
C.確定業務面臨風險時的潛在損失和影響 D.確定支持公司運行的關鍵系統
25.以下哪個模型主要用於金融機構信息系統的保護?
A.Chinese wall模型 B.BIBA模型
C.Clark-Wilson 模型 D.BMA 模型
26.射頻識別(RFID)標簽容易受到以下哪種風險 ?
A. 進程劫持 B.竊聽
C. 惡意代碼 D.Phishing
27.當曾經用於存放機密資料的PC在公開市場出售時
A.對磁盤進行消磁 B.對磁盤低級格式化
C.刪除數據 D.對磁盤重整
28.信息安全管理最關注的是?
A.外部惡意攻擊 B.病毒對PC的影響
C.內部惡意攻擊 D.病毒對網絡的影響
29.多層的樓房中,最適合做數據中心的位置是:
A.一樓 B.地下室
C.頂樓 D.除以上外的任何樓層
30.當客戶需要訪問組織信息資產時,下面正確的做法是?
A.應向其傳達信息安全要求及應注意的信息安全問題。
B.盡量配合客戶訪問信息資產。
C.不允許客戶訪問組織信息資產。
D.不加干涉,由客戶自己訪問信息資產。
31.對安全策略的描述不正確的是?
A.信息安全策略應得到組織的最高管理者批准。
B.策略應有一個所有者,負責按復查程序維護和復查該策略。
C.安全策略應包括管理層對信息安全管理工作的承諾。
D.安全策略一旦建立和發布,則不可變更。
32.滲透測試作為網絡安全評估的一部分
A.提供保證所有弱點都被發現 B.在不需要警告所有組織的管理層的情況下執行
C.找到存在的能夠獲得未授權訪問的漏洞 D.在網絡邊界上
33.在制定控制前,管理層首先應該保證控制
A.滿足控制一個風險問題的要求 B.不減少生產力
C.基於成本效益的分析 D.檢測行或改正性的
34.風險評估和管理工具通常是指什么工具
A.漏洞掃描工具 B.入侵檢測系統
C.安全審計工具 D.安全評估流程管理工具
35.風險評估實施過程中資產識別的依據是什么
A.依據資產分類分級的標准 B.依據資產調查的結果
C.依據人員訪談的結果 D.依據技術人員提供的資產清單
36.降低風險的控制措施有很多,下面哪一個不屬於降低風險的措
施?
A.在網絡上部署防火牆 B.對網絡上傳輸的數據進行加密
C.制定機房安全管理制度 D.購買物理場所的財產保險
37.信息安全管理措施不包括:
A.安全策略 B.物理和環境安全
C.訪問控制 D.安全范圍
38.為了解決操作人員執行日常備份的失誤,管理層要求系統管理員簽字日常備份,這是一個風險,,例子:
A.防止 B.轉移
C. 緩解 D.接受
39.通常最好由誰來確定系統和數據的敏感性級別?
A.審計師 B.終端用戶
C.擁有者 D.系統分析員
40.系統地識別和管理組織所應用的過程,特別是這些過程之間的相互作用,稱為什么?
A.戴明循環 B.過程方法
C.管理體系 D. 服務管理
41.下面哪一項組成了CIA三元組?
A.保密性,完整性,保障 B.保密性,完整性,可用性
C.保密性,綜合性,保障 D.保密性,綜合性,可用性
42.在邏輯訪問控制中如果用戶賬戶被共享,這種局面可能造成的最大風險是 :
A.非授權用戶可以使用ID擅自進入 . B.用戶訪問管理費時
C.很容易猜測密碼 D.無法確定用戶責任
43.組織的安全策略可以是廣義的,以是狹義的,下面哪一條是屬於廣義的安全策略?
A.應急計划 B.遠程辦法
C.計算機安全程序 D.電子郵件個人隱私
44.下面哪一種是最安全和最經濟的方法,對於在一個小規模到一個中等規模的組織中通過互聯網連接私有網絡?
A.虛擬專用網 B.專線
C.租用線路 D. 綜合服務數字網
45.當組織將客戶信用審查系統外包給第三方服務提供商時,下列哪一項是信息安全專業人士最重要的考慮因素?該提供商:
A.滿足並超過行業安全標准 B.同意可以接受外部安全審查
C.其服務和經驗有很好的市場聲譽 D.符合組織的安全策略
46.審核在實施審核時,所使用的檢查表不包括的內容有?
A.審核依據 B.審核證據記錄
C. 審核發現 D. 數據收集方法和工具
47.對於在ISMS 內審中所發現的問題,在審核之后應該實施必要的改進措施並進行跟蹤和評價,以下描述不正確的是?
Tips: Information Security Management Systems信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系
A.改進措施包括糾正和預防措施 B.改進措施可由受審單位提出並實施
C.不可以對體系文件進行更新或修改 D.對改進措施的評價應該包括措施的有效性的分析
48.企業信息資產的管理和控制的描述不正確的是
A.企業應該建立和維護一個完整的信息資產清單,並明確信息資產的管控責任;
B.企業應該根據信息資產的重要性和安全級別的不同要求,采取對應的管控措施;
C.企業的信息資產不應該分類分級,所有的信息系統要統一對待
D.企業可以根據業務運作流程和信息系統拓撲結構來識別所有的信息資產
49.風險評估的過程中,首先要識別信息資產,資產識別時,以下哪個不是需要遵循的原則?
A.只識別與業務及信息系統有關的信息資產,分類識別
B.所有公司資產都要識別
C.可以從業務流程出發,識別各個環節和階段所需要以及所產出的關鍵資產
D.資產識別務必明確責任人、保管者和用戶
50.以下對信息安全管理的描述錯誤的是
A.信息安全管理的核心就是風險管理
B.人們常說,三分技術,七分管理,可見管理對信息安全的重要性
C.安全技術是信息安全的構築材料,安全管理是真正的粘合劑和催化劑
D.信息安全管理工作的重點是信息系統,而不是人
51. 信息安全管理體系(ISMS)是一個怎樣的體系,以下描述不正確的是
A. ISMS是一個遵循PDCA模式的動態發展的體系
B. ISMS是一個文件化、系統化的體系
C.ISMS采取的各項風險控制措施應該根據風險評估等途徑得出的需求而定
D. ISMS應該是一步到位的,應該解決所有的信息安全問題
52. PDCA特征的描述不正確的是
A.順序進行,周而復始,發現問題,分析問題,然后是解決問題
B.大環套小環,安全目標的達成都是分解成多個小目標,一層層地解決問題
C.階梯式上升,每次循環都要進行總結,鞏固成績,改進不足
D.信息安全風險管理的思路不符合PDCA的問題解決思路
53. 構成風險的關鍵因素有哪些?
A. 人,財,物 B. 技術,管理和操作
C.資產,威脅和弱點 D.資產,可能性和嚴重性
54.安全開發制度中,QA最關注的的制度是
A.系統后評價規定 B.可行性分析與需求分析規定
C.安全開發流程的定義、交付物和交付物衡量標准 D.需求變更規定
55.以下哪項行為可能使用嗅探泄露系統的管理員密碼?
A.使用root用戶訪問FTP程序 B.使用root用戶連接SSH服務
C.使用root進行SCP文件傳輸 D.在本地使用root用戶登錄
56.災難恢復SHARE78的第三層是指
A.卡車運送 B.電子鏈接
C.活動狀態的備份中心 D.0數據丟失
57.以下哪一個是在所有的WINDOWS2000和WINDOWS系統中都存在 的日志是?
A.目錄服務日志 B.文件復制日志
C.應用服務日志 D.DNS服務日志
58.P2DR模型中的“反應”是在檢測到安全漏洞和安全事件時,通過及時的響應措施將網絡系統的安全性調整到風險最低的狀態,這些措施包括?
A.關閉服務。 B.向上級匯報。
C.跟蹤。 D.消除影響。
59.一個公司解雇了一個數據庫管理員,並且解雇時立刻取消了數據庫 管理員對公司所有系統的訪問權,是數據管理員威脅說數據庫在兩個月內將被刪除,除非公司付他一大筆錢。數據管理員最有可能采用下面哪種手段刪除數據庫?
A.放置病毒 B.蠕蟲感染
C.DoS攻擊 D.邏輯炸彈攻擊
60.在系統實施后評審過程中,應該執行下面哪個活動?
A.用戶驗收測試 B.投資收益分析
C.激活審計模塊 D.更新未來企業架構
61.定義ISMS范圍時,下列哪項不是考慮的重點
A.組織現有的部門 B.信息資產的數量與分布
C.信息技術的應用區域 D.IT人員數量
62.有關信息安全事件的描述不正確的是?
A.信息安全事件的處理應該分類、分級
B.信息安全事件的數量可以反映企業的信息安全管控水平
C.對於一些信息安全隱患,如果還沒造成損失,就沒必要進行報告。
D.信息安全事件處理流程中的一個重要環節是對事件發生的根源的追溯,以吸取教訓、總結經驗,防止類似事情再次發生
63.信息安全管理體系(ISMS)是一個怎樣的體系,以下描述不正確的是
A.ISMS是一個遵循PDCA模式的動態發展的體系
B.ISMS是一個文件化、系統化的體系
C.ISMS采取的各項風險控制措施應該根據風險評估等途徑得出的需求而 定
D.ISMS應該是一步到位的,應該解決所有的信息安全問題
64. 企業信息資產的管理和控制的描述不正確的是
A.企業應該建立和維護一個完整的信息資產清單,並明確信息資產的管控責任;
B.企業應該根據信息資產的重要性和安全級別的不同要求,采取對應的管控措施;
C.企業的信息資產不應該分類分級,所有的信息系統要統一對待
D.企業可以根據業務運作流程和信息系統拓撲結構來識別所有的信息資產
65.以下哪些不是應該識別的信息資產?
A.網絡設備 B.客戶資料
C.辦公桌椅 D.系統管理員
66.用於跟蹤路由的命令是
A.nestat B.regedit
C.systeminfo D.tracert
67.下列哪一個是國家推薦標准
A.GB/T 18020-1999 B.SJ/T 30003-93
C.ISO/IEC15408 D. GA 243-2000
68.為什么實現單點登錄的批處理文件及腳本文件需要被保護存儲?
A.因為最小授權原則 B.因為它們不可以被操作員訪問到
C.因為它們可能包含用戶身份信息 D.因為知所必須原則
69.在一個分布式環境中,以下哪一項能夠最大程度減輕服務器故障 的影響?
A.冗余路徑 B.(服務器 )集群
C.撥號備份鏈路 D.備份電源
70.如果恢復時間目標增加,則
A.災難容忍度增加 B.恢復成本增加
C.不能使用冷備援計算機中心 D.數據備份頻率增加
71.以下關於備份站點的說法哪項是正確的
A.應與原業務系統具有同樣的物理訪問控制措施
B.應容易被找到以便於在災難發生時以備緊急情況的需要
C.應部署在離原業務系統所在地較近的地方
D.不需要具有和原業務系統相同的環境監控等級
72.評估業務連續計划效果最好的方法是:
A.使用適當的標准進行規划和比較 B.之前的測試結果
C.緊急預案和員工培訓 D.環境控制和存儲站點
73.在一個中斷和災難事件中,以下哪一項提供了持續運營的技術手 段?
A.負載平衡 B.硬件冗余
C.分布式備份 D.高可用性處理
74.由於獨立的信息系統增加,一個國有房產公司要求在發生重大故 障后,必須保證能夠繼續提供 IT服務。需要實施哪個流程才能提供這種 保證性?
A.可用性管理 B. IT服務連續性管理
C.服務級別管理 D.服務管理
75.業務影響分析的主要目的是:
A.在災難之后提供一個恢復行動的計划 B.識別能夠影響組織運營持續性的事件
C.公布組織對物理和邏輯安全的義務 D.提供一個有效災難恢復計划的框架
76.制定應急響應策略主要需要考慮
A.系統恢復能力等級划分 B.系統恢復資源的要求
C.費用考慮 D.人員考慮
77.以下哪組全部都是多邊安全模型?
A.BLP模型和BIBA模型 B.BIBA模型和Clark-Wilson模型
C.Chinese wall模型和BMA模型 D.Clark-Wilson模型和Chinese wall模型
78. 有關定性風險評估和定量風險評估的區別,以下描述不正確的是
A.定性風險評估比較主觀,而定量風險評估更客觀
B.定性風險評估容易實施,定量風險評估往往數據准確性很難保證
C.定性風險評估更成熟,定量風險評估還停留在理論階段
D.定性風險評估和定量風險評估沒有本質區別,可以通用
79.降低企業所面臨的信息安全風險,可能的處理手段不包括哪些
A.通過良好的系統設計、及時更新系統補丁,降低或減少信息系統自身的缺陷
B.通過數據備份、雙機熱備等冗余手段來提升信息系統的可靠性;
C.建立必要的安全制度和部署必要的技術手段,防范黑客和惡意軟件的攻擊
D.通過業務外包的方式,轉嫁所有的安全風險
80.以下哪個選項不是信息中心(IC)工作職能的一部分?
A.准備最終用戶的預算 B.選擇PC的硬件和軟件
C.保持所有PC的硬件和軟件的清單 D.提供被認可的硬件和軟件的技術支持
81.處理報廢電腦的流程時,以下哪一個選項對於安全專業人員來說是最重要考慮的內容?
A.在扇區這個級別上,硬盤已經被多次重復寫入,但是在離開組織前沒有進行重新格式化。
B.硬盤上所有的文件和文件夾都分別刪除了,並在離開組織進行重新格式化。
C.在離開組織前,通過在硬盤特定位置上洞穿盤片,進行打洞,使得硬盤變得不可讀取。
D.由內部的安全人員將硬盤送到附近的金屬回收公司,對硬盤進行登記並粉碎
82.對於外部組織訪問企業信息資產的過程中相關說法不正確的是?
A.為了信息資產更加安全,禁止外部組織人員訪問信息資產。
B.應確保相關信息處理設施和信息資產得到可靠的安全保護。
C.訪問前應得到信息資產所有者或管理者的批准。
D.應告知其所應當遵守的信息安全要求。
83.有關人員安全管理的描述不正確的是?
A.人員的安全管理是企業信息安全管理活動中最難的環節。
B.重要或敏感崗位的人員入職之前,需要做好人員的背景檢查。
C.如職責分離難以實施,企業對此無能為力,也無需做任何工作。
D.人員離職之后,必須清除離職員工所有的邏輯訪問帳號。
84.一個組織的網絡設備的資產價值為100000元,一場意外火災使其損壞了價值的25%,按照經驗統計,這種火災一般每5年發生一次,年預期損失ALE為
Tips: ALE(年度損失值)
A.5000元 B.10000元
C.25000元 D.15000元
85.在未受保護的通信線路上傳輸數據和使用弱口令是一種?
A.弱點 B.威脅
C.可能性 D.影響
86.安全管理評估工具通常不包括
A.調查問卷 B.檢查列表
C.訪談提綱 D.漏洞掃描
87.風險評估實施過程中資產識別的范圍主要包括什么類別
A.網絡硬件資產 B.數據資產
C.軟件資產 D.以上都包括
88.信息安全審核是指通過審查、測試、評審等手段,檢驗風險評估 和風險控制的結果是否滿足信息系統的安全要求,這個工作一般由誰完成?
A.機構內部人員 B.外部專業機構
C.獨立第三方機構 D.以上皆可
89.下面安全策略的特性中,不包括哪一項?
A.指導性 B.靜態性
C.可審核性 D.非技術性
90.以下哪項不屬於PDCA循環的特點?
A.按順序進行,它靠組織的力量來推動,像車輪一樣向前進,周而復始,不斷循環
B.組織中的每個部分,甚至個人,均可以PDCA循環,大環套小環,一層一層地解決問題
C.每通過一次PDCA循環,都要進行總結,提出新目標,再進行第二次PDCA循環
D.的每個部分,不包括個人, 均可以PDCA循環,大環套小環,一層一層地解決問題
參考答案:
