《信息安全练习题(E).docx》由会员分享,可在线阅读,更多相关《信息安全练习题(E).docx(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、模拟考试试卷(E)华为.HCS-19-369. V200Number: 13-369Passing Score: 600Time Limit: 90 minFile Version: 200HCIT-R&S-IESN Hl9-369(Huawei Certified nerjdksnfkwsnl)1.关于微软的SDL原则,弃用不安全的函数属于哪个价格段?( C )A.规划B.设计C.实现1 ).测试Answer: C2 .优秀源代码审核工具有哪些特点(A )1安全性2多平台性3可扩民性4知识性5集成性A. 1 2 3 4 52 3 4B. 1 2 3 4. 2 3Answer: A解答:3 .
2、信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理 包括()六个方面的内容。()是信息安全风险管理的四个基本步骤,O则贯穿于这四个基本步骤中。(A)A.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、 风险评估、风险处理和批准监督;监控 审杳和沟通咨询B.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、 风险评估、风险处理和监控审查;批准 监督和沟通咨询C.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询:背景建立、 风险评估、风险处理和沟通咨询;监控 审查和批准监督D.背景建立、风险评估、风险外理、批准监督、监控审查和沟
3、通咨询:背景建立、 风险评估、监控审查和批准监督;风险 处理和沟通咨询Answer: A解答:背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询。4 .某公司在讨论如何确认已有的安全措施,对于确认已有这全措施,下列选项中 近期内述不正确的是(D)A.对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重 复实施B.安全措施主要有预防性、检测性和纠正性三种A.网页挂马B.利用即时通讯的关系链或伪装P2P下载资源等方式传播到目标系统中C. Google认证过的插件D.垃圾邮件解答:C解释:来源于国外的翻译的题目。32.管理,是指()组织并利用其各个要素(人、财、物、信息和时空
4、),借助(), 完成该组织目标的过程。其中,()就像其他重要业务资产各()一样,也对组织业务至关重要的一种资产,因此 需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露 于口益增多的、范围越来越广的威胁各()当中。A.管理手段:管理主体;信息;管理要素;脆弱性B.管理主体;管理手段;信息;管理要素;脆弱性C.管理主体:信息;管理手段:管理要素;脆弱性D.管理主体;管理要素;管理手段;信息;脆弱性Answer: B33.如下图所示,两份文件包含了不同的内容,却拥有相同的SHA-1数字签名a, 这违背了安全的哈希函数()性质。A.单向性B.弱抗碰撞性
5、C.强抗碰撞性D.机密性Answer: C 解释:该题目是违背了强抗碰撞性,Answer应为C。34 .信息安全管理体系也采用了 ()模型可应用于所有的()。ISMS把相关方的信 息安全要求和期望作为输入,并通过必要的(),产生满足这些要求和期望的()。A. ISMS: PDCA过程;行动和过程;信息安全结果PDCA; ISMS过程;行动和过程;信息安全结果B. ISMS: PDCA过程;信息安全结果;行动和过程D.PDCA; ISMS过程;信息安全结果;行动和过程Answer: B.以下对Kerberos协议过程说法正确的是:()A.协议可以分为两个步骤:一是用户身份鉴别:二是获取请求服务B
6、.协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务C.协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三是获 得服务许可票据D.协议可以分为三个步骤:一是获得票据许可票据二是获得服务许可票据;三是 获得服务Answer: I).下列选项中,对物理与环境安全的近期内述出现错误的是()A.物理安全确保了系统在对信息进行采集、传输、处理等过程中的安全B.物理安全面对是环境风险及不可预知的人类活动,是一个非常关键的领域C.物理安全包括环境安全、系统安全、设施安全等D.影响物理安全的因素不仅包含自然因素,还包含人为因素Answer: A.风险处理是依据(),选择和实施合适的安全
7、措施。风险处理的目的是为了将 O始终控制在可接爱的范围内。风险处理的方式主要有()、()、()和()四种方式。A.风险;风险评估的结果;降低;规避;转移;接受B.风险评估的结果;风险;降低;规避;转移;接受C.风险评估;风险;降低;规避;转移;接受D.风险;风险评估;降低;规避:转移;接受Answer: B38.信息收集是()攻击实施的基础,因此攻击者在实施前会对目标进行(),了解 目标所有相关的()。这些资料和信息对很多组织机构来说都是公开或看无用的,然而对攻击者来说,这些信息都 是非常有价值的,这些信息收集得越多,离他们成功得实现()就越近。如果为信息没有价值或价值的非常低,组织 机构通常
8、不会采取措施(),这正是社会工程学攻击者所希望的。A.信息收集;社会工程学;资料和信息;身份伪装;进行保护B.社会工程学;信息收集;资料和信息;身份伪装;进行保护C.社会工程学:信息收集;身份伪装;资料和信息:进行保护D.信息收集;资料和信息;社会工程学;身份伪装;进行保护Answer: B39.信息是流动的,在信息的流动过程中必须能够识别所有可能途径的()与();而对于信息本身而言,信息的敏感性的定义是对信息保护的()和(),信息在不同的环境存储和表现的形式也决 定了 ()的效果,不同的载体下,可能体现出信息的()、临时性和信息的交互场景,这使得风险管理变得复杂和不 可预测?A.基础;依据:
9、载体;环境:永久性:风险管理B.基础;依据;载体;环境;风险管理;永久性C.载体;环境;风险管理;永久性;基础;依据;D.载体;环境;基础;依据:风险管理;永久性Answer: I)40.软件安全设计和开发中应考虑用户隐私保护,以下关于用户隐私保护的说法错 误的是?A.告诉用户需要收集什么数据及搜集到的数据会如何被使用B.当用户的数据由于某种原因要被使用时,给客户选择是否允许C.用户提交的用户名和密码属于隐私数据,其他都不是D.确保数据的使用符合国家、地方、行业的相关法律法规Answer: C.随着时代的发展,有根多伟人都为通信事业的发展贡献出自己力量,根据常识可知以下哪项是正确的?()19世
10、纪中叶以后,随着电磁技术的发展,诞生了笔记本电脑,通信领域产生了 根本性的飞跃,开始了人类通信新 时代A. 1837年,美国人费曼发明了电报机,可将信息转换成电脉冲传向目的地,再转 换为原来的信息,从而实现了长途 电报通信1875年,贝尔(Bell)发明了电话机? 1878年在相距300公里的波士顿和纽 约之间进行了首次长途电话实验B. 1906年美国物理学家摩斯发明出无线电广播?法国人克拉维尔建立了英法第一 条商用无线电线路,推动了无线电 技术的进一步发展 Answer: C.随着人们信息安全意识的不断增强,版权保护也受到越来越多的关注。在版权 保护方面国内外使用较为广泛的是数字对象标识符D
11、OI (Digital Object Identifier)系统,它是由非赢利性组 织国际 D0I 基金会 IDF (InternationalDOI Foundation)研究设计的,在数字环境下标识知识产权对象的一种开放性系统。D0I系统工作流程如图所示,则下面对于D0I系统认识正确的是()A. D0I是一个暂时性的标识号,由Intermational DOI Foundation管理DOI的优点有唯一性、持久性、兼容性、或操作性、动态更新B. D0I命名规则中前缀和后缀两部之间用“;”分开D0I的体现形式只有网络域名和字符码两种形式Answer: B.关于我国信息安全保障的基本原则,下列
12、说法中不正确的是:A.要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行做法, 坚持管理与技术并重B.信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方C.在信息安全保障建设的各项工作中,既要统筹规划,又要突出重点D.在国家信息安全保障工作中,要充分发挥国家、企业和个人的积极性,不能忽 视任何一方的作用Answer: A.攻击者通过向网络或目标主机发送伪造的ARP应答报文,修改目标计算机上ARP缓存,形成一个错误的IP地址MAC地址映射,这个错误的映射在目标主机在需要发送数据时封装错误的MAC 地址。欺骗攻击过程如下图所示,其属于欺骗攻击中的哪一种欺骗攻击的过程OARP
13、A. IPDNSB. SNAnswer: A45.组织应依照已确定的访问控制策略限制对信息和()功能的访问。对访问的限 制要基于各个业务应用要求,访问控制策略还要与组织的访问策略一致。应建立安全登录规程控制实现对系统和应 用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和()时,宜使用如加密、智能卡、令牌或生物 手段等替代密码的身份验证方法。应建立交互式的口令管理系统,并确保使用优质的口令。对于可能覆盖系统和应用 的控制措施的实用工具和程序的使用,应加以限制并()。对程序源代码和相关事项(例如设计、说明书、验证计划和 确认计划的访问宜严格控制,以防引入非授权功能、避免无意识的变更
14、和维持有价值的知识产权的()。对于程序源 代码的保存,可以通过这种代码的中央存储控制来实现,更好的是放在()中A.应用系统:身份验证:严格控制;保密性:源程序库B.身份验证;应用系统;严格控制:保密性;源程序库C.应用系统;严格控制:身份验证;保密性;源程序库D.应用系统;保密性;身份验证;严格控制;源程序库Answer: A. OSI模型把网络通信工作分为七层,如图所示,0SI模型的每一层只与相邻的 上卜两层直接通信,当发送进程需要发送信息时,它把数据交给应用层。应用层对数据进行加工处理后,传给表示层。再经过一次加工后,数据被到会话层,这一过程一直继续到物理层接收数据后进行实际的传输,每一次
15、的加工乂称为数 据封装。其中IP层对应OSI模型中的那一层()A.应用层B.传输层C.应用层D.网络层Answer: 1)46 .以下关于软件安全问题对应关系错误的是?()A.缺点(Defect)软件实现和设计上的弱点B.缺陷(Bug)-实现级上的软件问题C.瑕疵(Flaw)一种更深层次、设计层面的的问题D.故障(Failure)-由于软件存在缺点造成的一种外部表现,是静态的、程序执行 过程中出现的行为表现Answer: C解释:非CISP来源,来源于CISSP的曾经的练习题,是翻译的,可参考百度文库2017年04月18日关于软件安全 错 误 区 别 ISO/IEC/IEEE 24765-20
16、10 的 翻译。Bug, defect, error, fault, failure, mistake 等区别。48.自主访问控制J (DAC)是应用很广泛的访问控制方法,常用于多种商业系统中。以 下对DAC模型的理解中,存在错误的是()A.在DAC模型中,资源的所有者可以规定谁有权访问它们的资源DAC是一种对单个用户执行访问控制的过程和措施B. DAC可为用户提供灵活调整的安全策略,具有较好的易用性可扩展性,可以抵御 特洛伊木马的攻击D.在DAC中,具有某种访问能力的主体能够自主地将访问权的某个子集授予其它 主体Answer: C.恶意代码经过20多年的发展,破坏性、种类和感染性都得到增强。
17、随着计算机 的网络化程度逐步提高,网络播的恶意代码对人们日常生活影响越来越大。小李发现在自己的电脑查出病毒的过程 中,防病毒软件通过对有毒件的检测,将软件行为与恶意代码行为模型进行匹配,判断出该软件存在恶意代码,这种方式 属于()A简单运行B.行为检测C.特征数据匹配D.特征码扫描Answer: B解释:CISP知识点范围内,在知识点理解的基础上,进一步参考“防病毒软件通 过对有毒软件的检测,将软件行为与恶意代码为模型进行匹配”参考教材第388页第三段的内容。49 .信息安全风险值应该是以下哪些因素的函数?()A.信息资产的价值、面临的威胁以及自身存在的脆弱性B.病毒、黑客、漏洞等C.保密信息
18、如国家秘密、商业秘密等D.网络、系统、应用的复杂程度Answer: A51 .管理层应该表现对(),程序和控制措施的支持,并以身作则。管理职责要确保 雇员和承包方人员都了()角色和职责,并遵守相应的条款和条件。组织要建立信息安全意识计划,并定期组织信息 安全()。组织立正式的(),确保正确和公平的对待被怀疑安全违规的雇员。纪律处理过程要规定0,考虑例如违规的性 质、重要性及对于业务的影响等因素,以及相关法律、业务合同和其他因素。A.信息安全:信息安全政策:教育和培训;纪律处理过程:分级的响应B信息安全政策:信息安全:教育和培训:纪律处理过程:分级的响应C信息安全政策:教育和培训:信息安全;纪律
19、处理过程:分级的响应D信息安全政策:纪律处理过程信息安全;教育和培训I:分级的响应Answer: B解释:CISP知识点范围内,但内容需要理解或背诵,来源于教材第113页,第一 段和第二段,请背诵下来,最好要 理解。52 .近几年,无线通信技术迅猛发展,广泛应用于各个领域.而无线信道是一个开放 性信道,它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素,下列选项中,对无线通信技术的安全特点描述正确的是()A.无线信道是一个开放信道,任何具有适当无线设备的人均可以通过搭线窃听而 获得网络通信内容B.通过传输流分析,攻击者可以掌握精确的通信内容C.对于无线局域网络和无线个人区域网络来
20、说,它们的通信内容更容易被窃听D.群通信方式可以防止网络外部人员获取网络内部通信内容Answer: C53.软件的可维护性可用七个质量特性来衡量,分别是:可理解性、可测试性、可修 改性、可靠性、可移植性、可使用性和效率对于不同类型的维护,这些侧重点也是不同的,在可维护性的特性中相互 促进的是()A可理解性和可测试性B效率和可移植性C效率和可修改性I).效率和可理解性Answer: A非 学 习 大 纲 范 围,. baidu. com/view/60bd00480722192e4436f61f. html软件工程课 自测题及Answer354下列选项中对信息系统审计概念的描述中不正确的是()A
21、.信息系统审计,也可称作IT审计或信息系统控制审计B.信息系统审计是一个获取并评价证据的过程,审计对象是信息系统相关控制,审 计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性C.信息系统审计是单一的概念,是对会计信息系统的安全性、有效性进行检查D.从信息系统审计内容上看,可以将信息系统审计分为不同专项审计,例如安全审 计、项目合规审计、绩效审计等。Answer: C.随着互联网的迅猛发展、WEB信息的增加,用户要在信息海洋里查找自己所需 的信息,就象大海捞针一样,索引擎技术恰好解决了这一难题。以下关于搜索引擎技术特点的描述中错误的是()A.搜索引擎以
22、一定的策略在Web系统中搜索和发现信息B.搜索引擎可以分为目录导航式与网页索引式C.搜索器在Internet上逐个访问Web站点,并建立一个网站的关键字列表D.索引器功能是理解搜索器获取的信息,向用户显示查询结果Answer: I)解释:来源于希赛网的软考练习题。55 .“规划(Plan)-实施(Do)-检查(Check)-处置(Act) ”施DCA过程)又叫(),是 管理学中的一个通用模型,最早由()I- 1930年构想,后来被美国质量管理专家()博士在1950年再度挖掘出来,并加 以广泛宣传和运用于持续改善产品质量的过程。PDCA循环就是按照“规划、实施、检杳、处置”的顺序进行质量管 理,
23、并且循环不止地进行下去的(),建立符合国际标准ISO 9001的质量管理体系即是一个典型的PDCA过程,建立ISO 14001环境管理体系、ISO 200001服务()也是一个类似的过程。A.质量环;休哈特;戴明;管理体系;科学程序B.质量环;戴明;休哈特;管理体系;科学程序C质量环:戴明;休哈特;科学程序;管理体系D.质量环;休哈特;戴明;科学程序;管理体系Answer: D解释:源于质量管理体系。57.ZigBee主要的信息安全服务为()、()、()、()。访问控制使设备能够选 择其愿意与之通信的其他设备。为了实现访问控制,设备必须在ACL中维护一个(),表明它愿意接受来自这些设 备的数据
24、。数据加密使用的密钥可能是一组设备共享,或者两两共享。数据加密服务于Beacon, command以及数据载 荷。数据0主要是利用消息完整性校验码保证没有密钥的节点不会修改传输中的消息、,进一步确认消息来自一个知 道()的节点A.访问控制、数据加密、数据完整性、序列抗重播保护;设备列表;完整性:密钥B.访问控制、加密、完整性、序列抗重播保护;设备列表;完整性;密钥C.访问控制、加密、数据完整性、序列抗重播保护;列表;完整性;密钥D.访问控制、数据加密、数据完整性、序列抗重播;列表;完整性;密钥Answer: A解释:源于无线通信安全技术,豆丁网2014. 10.18介绍。规范是 一种经济、高效
25、、低数据速率(250kbps)、工作在 2. 4GHz 和 868/915MHz 的无线技术。58在一个网络中,当拥有的网络地址容量不够多,或普通终端计算机没有必要分 配静态IP地址时,可以采用通过在计算机连接到网络时,每次为其临时在【P地址池中选择一个IP地址并分配的方式 为()A.动态分配IP地址B.静态分配IP地址C.网络地址转换分配地址D.手动分配Answer: A59.信息安全风险管理是基于()的信息安全管理,也就是,始终以()为主线进行 信息安全的管理。应根据实际()的不同来理解信息安全风险管理的侧重点,即()选择的范围和对象重:点应有所不 同。A.风险;风险;信息系统:风险管理B
26、.风险;风险;风险管理;信息系统C.风险管理;信息系统;风险;风险D.风险管理;风险;风险;信息系统Answer: A.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制 本单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他 罗列的四条理由中,其中不适合作为理由的一条是()A.应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方 式B.应急预案是提高应对网络和信息系统突发事件能力,减少突发事件造成的损失 和危害,保障信息系统运行平稳、安 全、有序、高效的手段C.编制应急预案是国家网络安全法对所有单位的强制要求,
27、因此必须建设D.应急预案是保障单位业务系统信息安全的重要措施Answer: C.数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技术来确保正确 的传输,确保解决该层的流量控制问题。数据链路层的数据单元是()A.报文B.比特流C.帧D.包Answer: C60 .以下对于标准化特点的描述哪项是错误的?A.标准化的对象是共同的、可重复的事物。不是孤立的一件事、一个事物B标准化必须是静态的,相对科技的进步和社会的发展不能发现变化C.标准化的相对性,原有标准随着社会发展和环境变化,需要更新D.标准化的效益,通过应用体现经济和社会效益,否则就没必要Answer: B.以下哪个是国际信息安全标准化组
28、织的简称?A.ANSIISOB. IEEENISTAnswer: B解释:题目描述不严谨。64.风险,在GB /T 22081中定义为事态的概率及其结果的组合。风险的目标可能 有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等:目标也可能有不同的级别,如 战略目标、组织目标、项目目标、产品目标和过程目标等,ISO / IEC 13335-1中揭示了风险各要素关系模型,如 图所示。请结合此图,怎么才能降低风险对组织产生的影响?()A.组织应该根据风险建立.响应的保护要求,通过构架防护措施降低风险对组织产 生的影响B.加强防护措施,降低风险C减少威胁和脆弱点降低风险D.减少
29、资产降低风险Answer: A解释:题目13335标准已过期。65 .某公司财务服务器受到攻击被攻击者删除了所有用户数据,包括系统日志,公 司网络管理员在了解情况后,给出了一些解决措施建议,作为信息安全主管,你必须指出不恰当的操作并阻止此次操 作()A.由于单位并无专业网络安全应急人员,网络管理员希望出具授权书委托某网络 安全公司技术人员对本次攻击进行 取证B.由于公司缺乏备用硬盘,因此计划将恢复服务器上被删除的日志文件进行本地 恢复后再提取出来进行取证C.由于公司缺乏备用硬盘,因此网络管理员申请采购与服务器硬盘同一型号的硬 盘用于存储恢复出来的数据D.由于公司并无专业网络安全应急人员,因此由
30、网络管理员负责此次事件的应急 协调相关工作Answer: B.在你而远端计算机进行ping操作,不同操作系统回应的数据包中初始HL值 是不同的,TTL是IP协议包中的一个值,它告诉网络,数据包在网络中的时间是否太长而应被丢弃。(简而言之,你可 以通过TTL值推算一下下列数据包已经通过了多少个路由器)根据回应的数据包中的TL值,可以大致判断()A.内存容量B.操作系统的类型C.对方物理位置D.对方的MAC地址Answer: B67.()攻击是建立在人性“弱点”利用基础上的攻击,大部分的社会工程学攻击都 是经过()才能实施成功的。即使是最简单的“直接攻击”也需要进行()。如果希望受害者接受攻击者所
31、(),攻 击者就必须具备这个身份需要 的()A.社会工程学:精心策划;前期的准备;伪装的身份;一些特征B.精心策划;社会工程学;前期的准备;伪装的身份;一些特征C.精心策划;社会工程学;伪装的身份;前期的准备:一些特征D.社会工程学;伪装的身份;精心策划;前期的准备;一些特征Answer: A解释:书本的229页,右边最下面的一段话。68内容安全是我国信息安全保障工作中的一个重要环节,互联网所带来的数字资 源大爆发是使得内容安全越越受到重视,以下哪个描述不属于内容安全的范畴()A.某杂志在线网站建立内容正版化审核团队,对向网站投稿的内容进行版权审核, 确保无侵犯版权行为后才能在网站 好进行发布
32、B某网站采取了技术措施,限制对同一 P地址对网站的并发连接,避免爬虫通过大量的访问采集网站发布数据C.某论坛根据相关法律要求,进行了大量的关键词过滤,使用户无法发布包含被 过滤关键词的相关内容D.某论坛根据国家相关法律要求,为了保证用户信息泄露,对所有用户信息,包括 用户名、密码、身份证号等都进行了 加密的存储Answer: D69 .恶意软件抗分析技术的发展,恶意软件广泛使用了加壳、加密、混淆等抗分析 技术,对恶意软件的分析难度越来越大。对恶意代码分析的研究已经成为信息安全领域的一个研究热点。小赵通过 查阅发现一些安全软件的沙箱功能实际上是虚拟化技术的应用,是动态分析中广泛采用的一种技术。小
33、赵列出了一些 动态分析的知识,其中错误的是()A、动态分析是指在虚拟运行环境中,使用测试及监控软件,检测恶意代码行为,分 析其执行流程及处理数据的状态,从而判断恶意代码的性质,并掌握其行为特点B.动态分析针对性强,并且具有较高的准确性,但由于其分析过程中覆盖的执行路 径有限,分析的完整性难以保证C.动态分析通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其 工作方式和机制D.动态分析通过监控系统进程、文件和注册表等方面出现的非正常操作和变化,可 以对恶意代码非法行为进行分析Answer: C.安全评估技术采用()这一工具,它是一种能够自动检测远程或本地主机和网络 安全性弱点的程序。
34、A.安全扫描器B.安全扫描仪C.自动扫描器I).自动扫描仪Answer: A解释:来源CISSP的,参考百度问答库,某信息安全知识竞赛题目。71 .小张在一不知名的网站上下载了鲁大师并进行了安装,电脑安全软件提示该软 件有恶意捆绑,小张惊出一身汗,因为他知道恶意代码将随之进入系统后会对他的系统信息安全造成极大的威胁,那 么恶意代码的软件部署常的实现方式不包括()A.攻击者在获得系统的上传权限后,将恶意代码部署到目标系统B.恶意代码自身就是软件的一部分,随软件部署传播C.内嵌在软件中,当文件被执行时进入目标系统D.恶意代码通过网上激活Answer: D72 .操作系统是作为一个支撑软件,使得你的
35、程序或别的应用系统在上面正常运行 的一个环境。操作系统提供了多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,C.安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了 威胁D.对确认为不适当的安全措施可以置不顾Answer: D解答:置不顾是错误的。5 .密码是一种用来混淆的技术,使用者希望正常的(可识别的)信息转变为无法 识别的信息。但这种无法识别信息部分是可以再加工并恢复和破解的,小刚是某公司新进的员工,公司要求他注册 一个公司网站的账号,小刚使用一个安全一点的密码,请问以下选项中哪个密码是最安全()A.使用和与用户名相同的口令B.选择可以在任何
36、字典或语言中找到的口令C.选择任何和个人信息有关的口令D.采取数字,字母和特殊符号混合并且易于记忆Answer: I)6 .基于对()的信任,当一个请求或命令来自一个“权威”人士时,这个请求就 可能被亳不怀疑的()。在()中,攻击者伪装成“公安部门”人员要求受害者对权威的信任。在()中,攻击 者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者执行操作,例如伪装成系统管理员,告诉用户请 求配合进行一次系统测试,要求()Answer: A。等。A.权威;执行;电信诈骗;网络攻击;更改密码B.权威;行;网络攻击;电信诈骗:更改密码C.执行;权威;电信诈骗;网络攻击;更改密码D.执行;权威;网
37、络攻击;电信诈骗;更改密码解答:全靠理解。7 .在软件项目开发过程中,评估软件项目风险时,()与风险无关。A.高级管理人员是否正式承诺支持该项目.开发人员和用户是否充分理解系统的需求C.最终用户是否同意部署已开发的系统D.开发需求的资金是否能按时到位Answer: C解答:非大纲知识点,参考如下. baidu. com/view/b1dOf33e0a4c2e3f5727a5e9856a561252d32186. html,百度题库,Answer为C8.物理安全是一个非常关键的领域包括环境安全、设施安全与传输安全。其中, 信息系统的设施作为直存储、处理数据的载体,其安全性对信息系统至关重要。下列
38、选项中,时设施安全的保障的 描述正确的是()。A.安全区域不仅包含物理区域,还包含信息系统等软件区域B.建立安全区域需要建立安全屏蔽及访问控制机制C.由于传统门锁容易被破解,因此禁止采用门锁的方式进行边界防护系统开发设计的不周而下的破绽,都给网络安全留下隐患。某公司的网络维护师为实现该公司操作系统的安全目标, 按书中所学建立了应的安全机制,这些机制不包括()A.标识与鉴别B.访问控制C.权限管理I).网络云盘存取保护Answer: D73.信息安全应急响应,是指一个组织为了应对各种安全意外事件的发生所采取的 防范措施,既包括预防性措施也包括事件发生后的应对措施。应急响应方法和过程并不是唯一的,
39、在下面的应急响应 管理流程图中,空白方填写正确的选项是()A.培训阶段B.文档阶段C.报告阶段D检测阶段Answer: D.即时通讯安全是移动互联网时代每个用户和组织机构都应该认真考虑的问题, 特别对于使用即时通讯进行工作交流和协作的组织机构。安全使用即时通讯应考虑许多措施,下列措施中错误的是() A.如果经费许可,可以使用自建服务器的即时通讯系统B.在组织机构安全管理体系中制定相应安全要求,例如禁止在即时通讯中传输敏 感及以上级别的文档;建立管理流程 及时将离职员工移除等C.选择在设计上已经为商业应用提供安全防护的即时通讯软件,例如提供传输安 全性保护等即时通讯D.涉及重要操作包括转账无需方
40、式确认Answer: D.如果有一名攻击者在搜索引擎中搜索”.doc+ XXX. com找到XXX. com网站上 所有的word文档。该攻击者通过搜索、曲”、“.12”+域名,找到该域名下的0)曲库文件、ini配置文件等非公开 信息,通过这此敏感信息对该网站进行攻击,请问这属于()A.定点挖掘B.攻击定位C.网络实施嗅探D.溢出攻击Answer: A源于CISSP的习题。74 .以下哪些因素属于信息安全特征?()A.系统和网络的安全B.系统和动态的安全C.技术、管理、工程的安全D系统的安全;动态的安全;无边界的安全;非传统的安全 Answer: D77.以下对单点登录技术描述不正确的是:()
41、。A.单点登录技术实质是安全凭证在多个用户之间的传递或共享B.使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用C.单点登录不仅方便用户使用,而且也便于管理I).使用单点登录技术能简化应用系统的开发Answer: A78.某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,提 出了四大培训任务和目标,关于这四个培训任务和目标,作为主管领导,以卜选项中正确的是()A.由于网络安全上升到国家安全的高度,因此网络安全必须得到足够的重视,因此 安排了对集团公司下属公司的总经 理(一把手)的网络安全法培训B.对下级单位的网络安全管理岗人员实施全面安全培训,计划全员通过CISP
42、持证 培训以确保人员能力得到保障C.对其他信息化相关人员(网络管理员、软件开发人员)也进行安全基础培训I,使相 关人员对网络安全有所了解I).对全体员工安排信息安全意识及基础安全知识培训,实现全员信息安全意识教 育Answer: A79.信息应按照其法律要求、价值、对泄露或篡改的0和关键性予以分类。信息资 产的所有者应对其分类负责。分类的结果表明了(),该价值取决于其对组织的敏感性和关键性如保密性、完整性和 有效性。信息要进行标记并体现其分类,标记的规程需要涵盖物理和电子格式的()。分类信息的标记和安全处理是 信息共享的一个关键要求。()和元数据标签是常见的形式。标记应易于辨认,规程应对标记附
43、着的位置和方式给 出指导,并考虑到信息被访问的方式和介质类型的处理方式。组织要建立与信息分类一致的资产处理、加工、存储 和()A.敏感性;物理标签;资产的价值;信息资产;交换规程B.敏感性;信息资产;资产的价值;物理标签;交换规程C.资产的价值;敏感性;信息资产;物理标签;交换规程 【).敏感性;资产的价值;信息资产物理标签;交换规程 Answer: D 来源于27002标准的原文。80 .杀毒软件一般是通过对代码与特征库中的特征码进行比对,判断这个文件是否 是为恶意代码,如果是则进女联系到病毒库中对该病毒的描述,从而确认其行为,达到分析的目的。下列对恶 意代码静态分析的说法中,错误的是 ()
44、A.静态分析不需要实际执行恶意代码,它通过对其二进制文件的分析,获得恶意代 码的基本结构和特征,了解其工作方式和机制B.静态分析通过查找恶意代码二进制程序中嵌入的可疑字符串,如:文件名称、URL 地址、域名、调用函数等来进行 分析判断C.静态分析检测系统函数的运行状态,数据流转换过程,能判别出恶意代码行为和 正常软件操作D.静态分析方法可以分析恶意代码的所有执行路径,但是随着程序复杂度的提高, 冗余路径增多,会出现分析效率很 低的情况Answer: C无法检测运行状态.81 .数据库是一个单位或是一个应用领域的通用数据处理系统,它存储的是属于企 业和事业部门、团体和个人的有关数据的集合。数据库
45、中的数据是从全局观点出发建立的,按一定的数据模型进行组 织、描述和存储。其结构基于数据间的自然联系,从而可提供一切必要的存取路径,且数据不再针对某一应用,而是 面向全组织,具有整体的结构化特征。数据库作为应用系统数据存储的系统,亳无疑问会成为信息安全的重点防护对 象。数据库安全涉及到数据资产的安全存储和安全访问,对数据库安全要求不包括下列()A.向所有用户提供可靠的信息服务B.拒绝执行不正确的数据操作C.拒绝非法用户对数据库的访问D.能跟踪记录,以便为合规性检查、安全责任审查等提供证据和迹象等Answer: A82.目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评。 关于信
46、息安全产品测评的意义,下列说法中不正确的是:A.有助于建立和实施信息安全产品的市场准入制度B.对用户采购信息安全产品,设计、建设、使用和管理安全的信息系统提供科学公 正的专业指导C.对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范 引导和质量监督D.打破市场垄断,为信息安全产业发展创造一个良好的竞争环境Answer: I).下面关于信息系统安全保障模型的说法不正确的是:A.国家标准信息系统安全保障评估框架第一部分:简介和一般模型GB / 202714. 1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心B.模型中的信息系统生命周期模型是抽象的概念性说明模型,在
47、信息系统安全保 障具体操作时,可根据具体环境和要 求进行改动和细化C.信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息 系统运行维护和使用的人员在能力 和培训方面不需要投入Answer: D.风险评估相关政策,目前主要有()(国信办20()65号)。主要内容包括:分析 信息系统资产的(),评估信息系统面临的()、存在的()、己有的安全措施和残余风险的影响等、两类信息系统 的()、涉密信息系统参照“分级保护”、非涉密信息系统参照“等级保护A.关于开展信息安全风险评估工作的意见;重要程度;安全威胁;脆弱
48、性;工 作开展B.关于开展风险评估工作的意见;安全威胁;重要程度;脆弱性;工作开展 C.关于开展风险评估工作的意见;重要程度;安全威肋,;脆弱性;工作开展 I).关于开展信息安全风险评估工作的意见脆弱性;重要程度;安全威胁;工作 开展Answer: A.()在实施攻击之前,需要尽量收集伪装身份(),这些信息是攻击者伪装成功的 ()。例如攻击者要伪装成某个大型集团公司总部的(),那么他需要了解这个大型集团公司所处行业的一些行规或 者()、公司规则制度、组织架构等信息,甚至包括集团公司中相关人员的绰号等等。A.攻击者;所需要的信息;系统管理员;基础;内部约定B.所需要的信息;基础;攻击者;系统管理员;内部约定C.攻击者;所需要