2024年安防生產行業技能考試-注冊信息安全專業人員筆試考試歷年高頻考點試題摘選含答案第1卷一.參考題庫(共75題)1.下列哪些可以最好的衡量服務器操作系統的完整性（）。A、在安全區域保護服務器B、設置根密碼C、加強服務器配置D、實施動態日志2.下列哪一個最好的描述了按照標準系統開發方法的目標（）。A、確保分配合適人員，并提供方法進行成本控制和進度安排B、提供方法進行成本控制和進度安排，以確保用戶，IS審計師，管理者和IS個人的溝通C、提供方法控制時間和進度，以便有效的控制審計項目開發D、確保用戶、IS審計師、管理人員之間的溝通，以確保安排合適的人員3.下列對于密網功能描述不正確的是（）。A、可以吸引或轉移攻擊者的注意力，延緩他們對真正目標的攻擊B、吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的或者記錄下來C、可以進行攻擊檢測和實施報警D、可以對攻擊活動進行監視、檢測和分析4.程序安全對應用安全有很大的影響，因此安全編程的一個重要環節。用軟件工程的方法編制程序是保證安全的根本。在程序設計階段，推薦使用的方法有（） a建立完整的與安全相關的程序文件 b嚴格控制程序庫 c正確選用程序開發工具 d制定適當的程序訪問控制A、a、b、c、dB、a、b、cC、b.c、dD、b、c5.以下哪一項不是審計措施的安全目標？（）A、發現試圖繞過系統安全機制的訪問B、記錄雇員的工作效率C、記錄對訪問客體采用的訪問方式D、發現越權的訪問行為6.審查無線網絡安全性的IS審計師確定所有無線訪問點上都禁用了動態主機配置協議（DHCP）。這種做法：（）A、減少網絡的未授權訪問風險B、不適用于小型網絡C、自動向任何人提供IP地址D、增加與無線加密協議（WEP）相關的風險7.WhoshouldmeasuretheeffectivenessofInformationSystemsecurityrelatedcontrolsinanorganization?在一個組織內，誰應該衡量信息系統安全相關控制的有效性？（）A、Thelocalsecurityspecialist本地安全專家B、Thesystemsauditor系統審計師C、Thecentralsecuritymanager中心安全經理D、Thebusinessmanager業務經理8.以下工作哪個不是計算機取證準備階段的工作（）A、獲得授權B、準備工具C、介質準備D、保護數據9.以下哪一個是對“崗位輪換“這一人員安全管理原則的正確理解？（）A、組織機構內的敏感崗位不能由一個人長期負責B、對重要的工作進行分解，分配給不同人員完成C、一個人有且僅有其執行崗位所足夠的許可和權限D、防止員工由一個崗位變動到另一個崗位，累積越來越多的權限10.某電子商務網站最近發生了一起安全事件，出現了一個價値1000元的商品用1元被買走的情況，經分析是由于設計時出于性能考慮，在瀏覽時使用http協議，攻擊者通過偽造數據包使得向購物車添加商品的價格被修改.利用此漏洞，攻擊者將價值1000元的商品以1元添加到購物車中，而付款時又沒有驗證的環節，導致以上問題，對于網站的這個問題原因分析及解決措施.最正確的說法應該是？（）A、該問題的產生是由于使用了不安全的協議導致的，為了避免再發生類似的問題，應對全網站進行安全改造，所有的訪問都強制要求使用httpsB、該問題的產生是由于網站開發前沒有進行如威脅建模等相關工作或工作不到位，沒有找到該威脅并采取相應的消減措施C、該問題的產生是由于編碼缺陷，通過對網站進行修改，在進行訂單付款時進行商品價格驗證就可以解決D、該問題的產生不是網站的問題，應報警要求尋求警察介入，嚴懲攻擊者即可11.下列哪項不是Kerberos密鑰分發服務（KDS）的一部分？（）A、Kerberos票證授予服務器（TGS）B、Kerberos身份驗證服務器（KAS）C、存放用戶名和密碼的數據庫D、Kerberos票證吊銷服務器（TRS）12.以下哪一個是對于參觀者訪問數據中心的最有效的控制？（）A、陪同參觀者B、參觀者佩戴證件C、參觀者簽字D、參觀者由工作人員抽樣檢查13.通過評估應用開發項目，而不是評估能力成熟度模型（CMM），IS審計師應該能夠驗證（）A、可靠的產品是有保證的B、程序員的效率得到了提高C、安全需求得到了規劃、設計D、預期的軟件程序（或流程）得到了遵循14.在風險管理的過程中，“建立背景”（即“對象確立”）的過程是哪四個活動？（）A、風險管理準備、信息系統調查、信息系統分析、信息安全分析B、風險管理準備、信息系統分析、信息安全分析、風險政策的制定C、風險管理準備、風險管理政策的制定、信息系統分析、信息安全分析D、確定對象、分析對象、審核對象、總結對象15.對于信息系統訪問控制說法錯誤的是（）。A、應該根據業務需求和安全要求置頂清晰地訪問控制策略，并根據需要進行評審和改進B、網絡訪問控制是訪問控制的重中之重，網絡訪問控制做好了操作系統和應用層次的訪問控制問題就可以得到解決C、做好訪問控制工作不僅要對用戶的訪問活動進行嚴格管理，還要明確用戶在訪問控制中的有關責任D、移動計算和遠程工作技術在廣泛應用給訪問控制帶來了新的問題，因此在訪問控制工作中要重點考慮對移動計算設備和遠程工作用戶的控制措施16.一套合理有效的信息安全策略最有可能包含以下哪一類（控制）程序來處理可疑的入侵（）。A、響應的B、糾正的C、偵測的D、監控的17.Whoisultimatelyresponsibleforthesecurityofacomputerbasedinformationsystemwithinanyorganization?在任何機構內，哪一項是計算機信息系統安全的根本原因（）A、anoperationalissue.操作問題B、amanagementissue.管理問題C、atrainingissue.培訓問題D、atechnicalissue.技術問題18.白盒測試特有的優勢是：（）A、驗證程序能夠與系統的其他部分運行成功B、確保程序的功能運行有效，不考慮程序內部架構C、確定一個程序的詳細邏輯路徑的程序上的正確性和環境D、通過執行在一個受限的或者虛擬的環境下受限訪問主系統來檢查程序的功能性19.WhichoneofthefollowingfunctionsprovidestheleasteffectiveorganizationalreportingstructurefortheInformationSystemsSecurityfunction?以下下列哪項提供了對信息系統安全部門來說是最無效的組織匯報機制？（）A、ISqualityassurance.IS質量保證B、ISresourcemanagement.IS資源管理C、ISoperations.IS操作D、Corporatesecurity.企業安全20.下面哪一項用于描述ＩＴＦ（整體測試法）最合適（）。A、這種方法使IS審計師能夠測試計算機應用程序以核實正確處理B、利用硬件和或軟件測試和審查計算機系統的功能C、這種方法能夠使用特殊的程序選項打印出通過計算機系統執行的特定交易的流程D、IS系統審計師用于測試的一種程序，可以用于處理tagging和擴展交易和主文件記錄。21.在新系統設計中建立停止或“凍結點”的原因是：（）A、組織以后對項目過程的改動B、標志軟件設計將要完成的點C、凍結點后的變更需求需要進行成本效益評估D、為項目管理團隊提供更多的項目計劃22.災難恢復SHARE78的第三層是指（）。A、卡車運送B、電子鏈接C、活動狀態的備份中心D、0數據丟失23.以下對windows賬號的描述，正確的是：（）。A、windows系統是采用SID（安全標識符）來標識用戶對文件或文件夾的權限B、windows系統是采用用戶名來標識用戶對文件或文件夾的權限C、windows系統默認會生成administration和guest兩個賬號，兩個賬號都不允許改名和刪除D、windows系統默認生成administration和guest兩個賬號，兩個賬號都可以改名和刪除24.為提供充分的物理訪問補償性控制，以下哪一項最不適用（）。A、ID身份卡B、口令C、磁卡D、訪客登記25.職責分離式信息安全管理的一個基本概念。其關鍵是權力不能過分集中在某一個人手中。職責分離的目的是確保沒有單獨的人員《單獨進行操作》可以對應用程序系統特征或控制功能進行破壞。當以下哪一類人員訪問安全系統軟件的時候，會造成對“職責分離”原則的違背？（）A、數據安全管理員B、數據安全分析員C、系統審核員D、系統程序員26.某網絡安全公司基于網絡的實時入侵檢測技術，動態監測來自于外部網絡和內部網絡的所有訪問行為，當檢測到來自內外網絡針對或通過防火墻的攻擊行為，會及時響應，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統的抗攻擊能力，更有效地保護了網絡資源，提高了防御體系級別。但入侵檢測技術不能實現以下哪種功能（）。A、檢測并分析用戶和系統的活動B、核查系統的配置漏洞，評估系統關鍵資源和數據文件的完整性C、防止IP地址欺騙D、識別違反安全策略的用戶活動27.某市環衛局網絡建設是當地政府投資的重點項目，總體目標就是用交換式千兆以太網為主干，超五類雙絞線水平布線，由大型的交換機和路由器連通幾個主要的工作區域，在各區域建立一個閉路電視監控系統，再把信號通過網絡傳輸到各監控中心，其中對交換機和路由器進行配置是網絡安全中的一個不可缺少的步驟，下面對于交換機和路由器的安全配置，操作錯誤的是：（）A、保持當前版本的操作系統，不定期更換交換機操作系統補丁B、控制交換機的物理訪問端口，關閉空閑的物理端口C、帶外管理交換機，如果不能實現的話，可以利用單獨的VLAN號進行帶內管理D、安全配置必要的網絡服務，關閉不必要的網絡服務28.GB/T22080-2008《信息技術安全技術信息安全管理體系要求》指出，建立信息安全管理體系應參照模型進行，即信心安全管理體系應包括建立ISMS，實施和運行ISMS，監視和評審ISMS，保持和改進ISMS等過程，并在這些過程中應實施若干活動，請選出以下描述錯誤的選項：（）A、“制定ISMS方針”是建立ISMS階段工作內容B、“實施培訓和意識教育計劃”是實施和運行ISMS階段工作內容C、“進行有效性測量”是監視和評審ISMS階段工作內容D、“實施內部審核”是保持和改進ISMS階段工作內容29.以下那一個角色一般不能對安全日志文件實施檢查（）。A、安全管理員B、安全主管C、系統主管D、系統管理員30.下列哪項措施能夠最有效地減少一個設備捕獲其他設備信息包的能力？（）A、過濾器B、交換機C、路由器D、防火墻31.以下關于軟件安全測試說法正確的是（）？A、軟件安全測試就是黑盒測試B、Fuzz測試是經常采用的安全測試方法之一C、軟件安全測試關注的是軟件的功能D、軟件安全測試可以發現軟件中產生的所有安全問題32.以下是其中最關鍵的，當創建數據測試新系統或修改后的系統的邏輯時，以下哪一個是最關鍵的（）。A、對每個案例有足夠數量的測試數據B、數據表示的情況在實際中可能會出現C、按時完成測試D、隨機抽樣實際數據33.以下《關于加強政府信息系統安全和保密管理工作的通知》和《關于印發政府信息系統安全檢查辦法》錯誤的是（）A、明確檢查方式“以自查為主，抽查為輔”、按需求進行技術檢測B、明確對信息安全工作“誰主管誰負責、誰運行誰負責、誰使用誰負責”C、明確安全管理措施和手段必須堅持管理制度和技術手段D、明確工信部具體負責組織檢查34.信息安全保障技術框架（InformationAssuranceTechnicalFramework，IATF）由美國國家安全局（NSA）發布，最初目的是為保障美國政府和工業的信息基礎設施安全提供技術指南，其中，提出需要防護的三類“焦點區域”是（）A、網絡和基礎設施區域邊界重要服務器B、網絡和基礎設施區域邊界計算環境C、網絡機房環境網絡接口計算環境D、網絡機房環境網絡接口重要服務器35.實施邏輯訪問安全時，以下哪項不是邏輯訪問？（）A、用戶IDB、訪問配置文件C、員工胸牌D、密碼36.一個組織已經創建了一個策略來定義用戶禁止訪問的網站類型。哪個是最有效的技術來達成這個策略？（）A、狀態檢測防火墻B、網頁內容過濾C、網頁緩存服務器D、代理服務器37.災難性恢復計劃（DRP）基于（）。A、技術方面的業務連續性計劃B、操作部分的業務連續性計劃C、功能方面的業務連續性計劃D、總體協調的業務連續性計劃38.安全模型是用于精確和形式地描述信息系統的安全特征，解釋系統安全相關行為。關于它的作用描述不正確的是（）？A、準確的描述安全的重要方面與系統行為的關系B、開發出一套安全性評估準則，和關鍵的描述變量C、提高對成功實現關鍵安全需求的理解層次D、強調了風險評估的重要性39.以下關于TCSEC的說法正確的是（）A、TCSEC對安全功能和安全保證進行了明確的區分B、TCSEC為評估操作系統的可信賴程度提供了一套方法C、TCSEC沒有包括對網絡和通信的安全性進行評估內容D、數據庫系統的安全性評估不在TCSEC的內容中40.下面哪一個不是系統設計階段風險管理的工作內容？（）A、安全技術選擇B、軟件設計風險控制C、安全產品選擇D、安全需求分析41.為獲得最有效的交易安全，指出以下應使用加密技術的層次（）。A、整個信息包層次B、記錄層次C、文件層次D、信息字段層次42.網站證書的主要目標是（）。A、將被訪問的網站的認證B、要訪問那個網站的用戶的認證C、阻止網站被黑客訪問D、與電子證書的目的相同43.某組織請求IS審計師提出建議來幫助其提高IP語音（VoIP）系統及數據通信的安全性和可靠性。以下哪項措施能實現這一目標？（）A、使用虛擬局域網（VLAN）對VoIP基礎設施進行劃分B、在VoIP終端設置緩沖區C、確保在VoIP系統中實現端到端加密D、確保VoIP基礎設施中各部分均使用應急備用電源44.高級管理層對IT戰略計劃缺乏輸入引起最可能的結果（）。A、缺乏在技術上的投資B、缺乏系統開發的方法C、技術目標和組織目標不一致D、技術合同缺乏控制45.對于數據庫管理而言，最重要的控制是（）A、A、批準數據庫管理員（DB的活動46.通過向被攻擊者發送大量的ICMP回應請求，消耗被攻擊者的資源來進行響應，直至被攻擊者再也無法處理有效的網絡信息流時，這種攻擊稱之為（）A、Land攻擊B、Smurf攻擊C、PingofDeath攻擊D、ICMPFlood47.要確保信息的真實性、機密性和完整性，發送者應使用其哪種密鑰加密消息的哈希：（）A、公鑰，然后使用接收者的私鑰對消息進行加密B、私鑰，然后使用接收者的公鑰對消息進行加密C、公鑰，然后使用接收者的公鑰對消息進行加密D、私鑰，然后使用接收者的私鑰對消息進行加密48.有關信息系統的設計、開發、實施、運行和維護過程中的安全問題，以下描述錯誤的是（）。A、信息系統的開發設計，應該越早考慮系統的安全需求越好B、信息系統的設計、開發、實施、運行和維護過程中的安全問題，不僅僅要考慮提供一個安全的開發環境，同時還要考慮開發出安全的系統C、信息系統在加密技術的應用方面，其關鍵是選擇密碼算法，而不是密鑰的管理D、運營系統上的敏感、真實數據直接用作測試數據將帶來很大的安全風險49.以下哪些不是應該識別的信息資產？（）A、網絡設備B、客戶資料C、辦公桌椅D、系統管理員50.以下哪種方式是最有效的手段確定操作系統功能正常運行（）。A、與供應商協商B、審查供應商安裝指南C、咨詢系統程序員D、審查系統產生參數51.以下哪一項是邊界控制的示例（）。A、網關B、網橋C、調制解調器D、防火墻52.恢復階段的行動一般包括（）。A、建立臨時業務處理能力B、修復原系統損害C、在原系統或新設施中恢復運行業務能力D、避免造成更大損失53.在風險管理準備階段“建立背景”（對象建立）過程中不用設置的是（）。A、分析系統的體系結構B、分析系統的安全環境C、制定風險管理計劃D、調查系統的技術特性54.某公司正在對一臺關鍵業務服務器進行風險評估，該服務器價值138000元，針對某個特定威脅的暴露因子（EF）是45%，該威脅的年度發生率（ARO）為每10年發生1次。根據以上信息，該服務器的年度預期損失值（ALE）是多少？（）A、1800元B、62100元C、140000元D、6210元55.下列對Kerberos協議特點描述不正確的是（）A、協議采用單點登錄技術，無法實現分布式網絡環境下的認證B、協議與授權機制相結合，支持雙向的身份認證C、只要用戶拿到了TGT并且該TGT沒有過期，就可以使用該TGT通過TGS完成到任一個服務器的認證而不必重新輸入密碼D、AS和TGS是集中式管理，容易形成瓶頸，系統的性能和安全也嚴重依賴于AS和TGS的性能和安全56.軟件開發中的瀑布生命周期模型最適合用于的環境是？（）A、在系統擬運行的商業環境中，需求能被很好的理解并預期能保持穩定B、需求能被很好的理解同時項目時間緊C、項目打算應用面向對象的設計和開發技術D、項目將使用新技術57.在軟件開發項目中，整體全面質量管理（TQM）的基本要點在于（）。A、全面文件B、準時交貨C、成本控制D、用戶滿意58.在SSE-CMM中對工程過程能力的評價分為三個層次，由宏觀到微觀依次是（）A、能力級別-公共特征（CF）-通用實踐（GP）B、能力級別-通用實踐-（GP）-公共特征（CF）C、通用實踐-（GP）-能力級別-公共特征（CF）D、公共特征（CF）-能力級別-通用實踐-（CP）59.在關系型數據庫系統中通過“視圖（view）”技術，可以實現以下哪一種安全原則（）A、縱深防御原則B、最小權限原則C、職責分離原則D、安全性與便利性平衡原則60.在一個業務繼續計劃的模擬演練中，發現報警系統嚴重受到設施破壞。下列選項中，哪個是可以提供的最佳建議？（）A、培訓救護組如何使用報警系統B、報警系統為備份提供恢復C、建立冗余的報警系統D、把報警系統存放地窖里61.有一些信息安全事件是由于信息系統中多個部分共同作用造成的，人們稱這類事件為“多組件事故”，應對這類安全事件最有效的方法是（）A、配置網絡入侵檢測系統以檢測某些類型的違法或誤用行為B、使用防病毒軟件，并且保持更新為最新的病毒特征碼C、將所有公共訪問的服務放在網絡非軍事區（DMZ）D、使用集中的日志審計工具和事件關聯分析軟件62.將會在組織的戰略計劃中發現下面哪一個目標（）。A、測試新的帳戶包B、進行信息技術需求評估C、在接下來的12個月中實施新的項目計劃D、成為某種產品的供應商63.審計師審查數據庫管理系統的功能，以確定是否已取得足夠的數據控制。審計師應該確定的是（）。A、對數據處理業務的功能報告B、明確定義功能的責任C、數據庫管理員應該是勝任的系統程序員D、審計軟件具有高效訪問數據庫的能力。64.組織已經完成了年風險估價。信息系統審計師對于組織下一步的有何關于商業持續計劃的建議？（）A、回顧并評價商業持續計劃是否恰當B、對商業持續計劃進行完整的演練C、對職員進行商業持續計劃的培訓D、將商業持續計劃通報關鍵聯絡人65.P2DR模型通過傳統的靜態安全技術和方法提高網絡的防護能力，這些技術包括（）？A、實時監控技術B、訪問控制技術C、信息加密技術D、身份認證技術66.以下哪項是IS審計師在審查客戶端-服務器環境中的安全性時應關注的？（）A、使用加密技術保護數據B、使用無盤工作站防止未授權訪問C、允許用戶直接訪問和修改數據庫D、禁用用戶計算機上的軟盤驅動器67.以下哪種審計技術在早期檢測錯誤或違規時是最有效的？（）A、內嵌的審計模塊B、集成的測試工具C、截屏D、審計鉤68.評估IT風險的最佳辦法是（）。A、評估與現有IT資產和IT項目相關的威脅B、利用公司以往的實際經驗，確定當前風險損失C、審查同類公司公布的損失統計數據D、審查IS審計報告中指出的控制弱點69.信息安全管理者需要完成方方面面的繁雜工作，這些日常工作根本的目標是（）A、避免系統軟硬件的損傷B、監視系統用戶和維護人員的行為C、保護組織的信息資產D、給入侵行為制造障礙，并在發生入侵后及時發現、準確記錄70.在契約性協議包含源代碼第三方保存契約（escrow）的目的是（）A、保證在供貨商不存在時源代碼仍然有效B、允許定制軟件以滿足特定的業務需求C、審核源代碼以保證控制的充分性D、保證供貨商已遵從法律要求71.下面哪一種攻擊方式最常用于破解口令？（）A、哄騙（spoofing）B、字典攻擊（dictionaryattack）C、拒絕服務（DoS）D、WinNuk72.以下哪個選項是缺乏適當的安全控制的表現？（）A、威脅B、脆弱性C、資產D、影響73.項目經理欲提高信息系統安全性，他首先要做的工作是（）A、考慮安全開發需要什么樣的資源與預算B、考慮安全開發在開發生命周期各階段應開展哪些工作C、對開發團隊進行信息安全培訓D、購買一定的安全工具，如代碼掃描工具等74.對以下哪一項的分析最有可能使IS審計人員確定有未被核準的程序曾企圖訪問敏感數據？（）A、異常作業終止報告B、操作員問題報告C、系統日志D、操作員工作日程安排75.InMandatoryAccessControl,sensitivitylabelscontainwhatinformation?在強制訪問控制中，敏感性標識包含什么信息？（）A、theitem'sclassification對象的分類B、theitem'sclassificationandcategoryset對象的分類和類別設置C、theitem'sclassification,categorysetandcompartmentset對象的分類、分類設置和隔間設置D、theitem'sclassificationanditscompartment對象的分類以及它的間隔第2卷一.參考題庫(共75題)1.以下哪些問題、概念不是公鑰密碼體制中經常使用到的困難問題？（）A、大整數分解B、離散對數問題C、背包問題D、偽隨機數發生器2.以下哪些不是介質類資產？（）A、紙質文檔B、存儲介質C、軟件介質D、憑證3.通過以下哪種方式，虛擬專用網絡(vpn)提供了數據保密性：（）A、安全套接字層（SSL）B、隧道傳輸C、數字簽名D、網絡釣魚4.ＩＳ審計師在審查ＥＤＩ交易時發現了未經授權的交易，有可能建議改進（）。A、EDI貿易伙伴協議B、對于終端的物理控制C、發送和接收信息的認證技術D、程序變更控制處理5.大量系統故障發生在修正前一個錯誤后，重新進行測試請求，下列哪種測試最不適用于維護小組進行了測試？（）A、單元測試（單元測試是在軟件開發過程中要進行的最低級別的測試活動，在單元測試活動中，軟件的獨立單元將在與程序的其他部分相隔離的情況下進行測試）B、集成測試（也叫組裝測試或聯合測試。在單元測試的基礎上，將所有模塊按照設計要求（如根據結構圖）組裝成為子系統或系統，進行集成測試。實踐表明，一些模塊雖然能夠單獨的工作，但不能保證鏈接起來也能正常的工作）C、設計預演（該方法首先要定義目標用戶、代表性的測試任務、每個任務正確的行動順序、用戶界面，然后進行行動預演并不斷的提出問題，包括用戶能否建立達到任務目的，用戶能否獲得有效的行動計劃，用戶能否采用適當的操作步驟，用戶能否根據系統的反饋信息評價是否完成任務，最后進行評論）D、配置管理（是通過技術或行政手段對軟件產品及其開發過程和生命周期進行控制、規范的系列措施）6.對網上交易處理系統，每秒交易量用于衡量（）。A、吞吐量B、反應時間C、周轉時間D、Uptime7.下面哪一種情況下，IS審計師應該用統計抽樣而不是判斷抽樣（）。A、錯誤率必須被客觀量化B、審計師希望避免抽樣風險C、通用審計軟件不實用D、容忍誤差不能確定8.在進行了全面運行測試后，IS審計師對相應的恢復步驟進行了審核，并發現為了將技術環境和系統的所有功能回退所花費的時間超過了規定的關鍵恢復時間，審計師應當提出下面哪一項建議？（）A、對恢復工作進行全面的審核B、擴充處理能力以縮短恢復時間C、改進設施的流轉結構D、增加恢復工作中的人力資源9.風險評估的過程中，首先要識別信息資產，資產識別時，以下哪個不是需要遵循的原則？（）A、只識別與業務及信息系統有關的信息資產，分類識別B、所有公司資產都要識別C、可以從業務流程出發，識別各個環節和階段所需要以及所產出的關鍵資產D、資產識別務必明確責任人、保管者和用戶10.Whatisa"systemhigh"securitypolicy?什么是一個“系統高”的安全策略？（）A、Asystemwhereallusersareclearedtoviewthemosthighlyclassifieddataonthesystem.系統上的所有用戶被許可查看最高級別的數據B、Asystemthatcontainsonlydataofonesecurityclassification.只包含一個安全級別的數據C、Asystemwithdatathatcontainsonlydataofthehighestsecurityclassification.只包含最高安全級別的數據D、AsystemthatusesaMulti-LevelSecurityPolicytoseparatethehighlyclassifieddatafromtheotherdataresidingonthesystem.使用多級安全策略去劃分高級別數據和其他數據。11.某組織的IP語音（VoIP）包網絡對大量通信進行了重新路由。該組織認為其已遭到竊聽。以下哪一項可能導致VoIP通信遭到竊聽？（）A、以太網交換機中的地址解析協議（ARP）緩存損壞B、在虛擬電話交換機上使用默認管理員密碼C、在未啟用加密的情況下部署虛擬局域網（VLAN）D、最終用戶有權訪問包嗅探器應用程序等軟件工具12.審計章程應該（）A、是動態的并且經常修訂以適應技術和審計職業的變化B、消除表述經管理當局授權以復核并維護內控制度的審計目標C、明文規定設計好的審計程序，以達成預定審計目標D、概述審計職能的權力、范圍和責任13.美國的關鍵信息基礎設施（criticalInformationInfrastructure，CII）包括商用核設施、政府設施、交通系統、飲用水和廢水處理系統、公共健康和醫療、能源、銀行和金融、國防工業基地等等，美國政府強調重點保障這些基礎設施信息安全，其主要原因不包括（）A、這些行業都關系到國計民生，對經濟運行和國家安全影響深遠B、這些行業都是信息化應用廣泛的領域C、這些行業信息系統普遍存在安全隱患，而且信息安全專業人才缺乏的現象比其他行業更突出D、這些行業發生信息安全事件，會造成廣泛而嚴重的損失14.風險評估和管理工具通常是指什么工具？（）A、漏洞掃描工具B、入侵檢測系統C、安全審計工具D、安全評估流程管理工具15.RPC系列標準是由（）發布的A、國際標準化組織（ISO）B、國際電工委員會（IEC）C、國際貿易中心（ITC）D、互聯網工程任務組IETF16.推行專家系統的最大好處是（）。A、在組織內收集個人的知識和經驗B、分享知識庫中的知識C、增加個人的生產力和績效D、減少關鍵部門的員工流動17.下列關于ISO15408《信息技術安全評估準則》簡稱CC標準，關于CC模型中保護輪廓含義本身解釋正確的是（）A、它是基于一類TOE的應用環境規定的一組安全要求，并提出相應級別的保證要求B、它是基于一個或多個PP選擇性的提出的一組安全要求C、它會包含PP要求或非PP要求的內容，形成一組要求D、它提出了安全要求實現的功能和質量兩個層面18.在數據倉庫中，能保證數據質量的是（）。A、凈化B、重構C、源數據的可信性D、轉換19.災難恢復后的計劃部署后，組織的災難前和災難后的成本將：（）A、減少B、維持不變C、增加D、增加或減少，由業務性質而定20.某政府機構委托開發商開發了一個OA系統，其中有一個公文分發，公文通知等為WORD文檔，廠商在進行系統設計時使用了FTP來對公文進行分發，以下說法不正確的是（）A、FTP協議明文傳輸數據，包括用戶名和密碼，攻擊者可能通過會話過程嗅探獲得FTP密碼，從而威脅OA系統B、FTP協議需要進行驗證才能訪問在，攻擊者可以利用FTP進行口令的暴力破解C、FTP協議已經是不太使用的協議，可能與新版本的瀏覽器存在兼容性問題D、FTP應用需要安裝服務器端軟件，軟件存在漏洞可能會影響到OA系統的安全21.針對軟件的拒絕服務攻擊是通過消耗系統資源使軟件無法響應正常請求的一種攻擊方式，在軟件開發時分析拒絕服務攻擊的威脅，以下哪個不是需要考慮的攻擊方式（）A、攻擊者利用軟件存在邏輯錯誤，通過發送某種類型數據導致運算進入死循環，CPU資源占用始終100％B、攻擊者利用軟件腳本使用多重嵌套查詢，在數據量大時會導致查詢效率低，通過發送大量的查詢導致數據庫響應緩慢C、攻擊者利用軟件不自動釋放連接的問題，通過發送大量連接消耗軟件并發連接數，導致并發連接數耗盡而無法訪問D、攻擊者買通了IDC人員，將某軟件運行服務器的網線拔掉導致無法訪問22.某單位根據業務需要準備立項開發一個業務軟件，對于軟件開發安全投入經費研討時開發部門和信息中心就發生了分歧，開發部門認為開發階段無需投入，軟件開發完成后發現問題后再針對性的解決，比前期安全投入要成本更低；信息中心則認為應在軟件安全開發階段投入，后期解決代價太大，雙方爭執不下，作為信息安全專家，請選擇對軟件開發安全投入的準確說法？（）A、信息中心的考慮是正確的，在軟件立項投入解決軟件安全問題，總體經費投入比軟件運行后的費用要低B、軟件開發部門的說法是正確的，因為軟件發現問題后更清楚問題所在，安排人員進行代碼修訂更簡單，因此費用更低C、雙方的說法都正確，需要根據具體情況分析是開發階段投入解決問題還是在上線后再解決問題費用更低D、雙方的說法都錯誤，軟件安全問題在任何時候投入解決都可以，只要是一樣的問題，解決的代價相同23.防范密碼嗅探攻擊計算機系統的控制措施包括下列哪一項？（）A、靜態和重復使用的密碼B、加密和重復使用的密碼C、一次性密碼和加密D、靜態和一次性密碼24.公鑰的發送者將通過什么進行身份驗證（）。A、證書機構B、數字簽名C、數字證書D、注冊機構25.下列關于kerckhofff準則的合理性闡述中，哪一項是正確的？（）A、保持算法的秘密比保持密鑰的秘密性要困難得多B、密鑰一旦泄漏，也可以方便地更換C、在一個密碼系統中，密碼算法是可以公開的，密鑰應保證安全D、公開的算法能夠經過更嚴格的安全性分析26.Operationsecurityrequirestheimplementationofphysicalsecuritytocon-trolwhichofthefollowing?操作安全要求對下列哪項實施物理安全控制？（）A、evacuationprocedures撤離步驟B、incominghardware硬件搬入C、contingencyconditions應急條件D、unauthorizedpersonnelaccess未經授權的人員訪問27.業務影響分析（BIA）的主要目標是？（）A、定義恢復策略B、確定可選擇的另一個站點C、改進恢復測試D、計算年度損失預期28.確認有組織的災難恢復，最重要的是業務連續性計劃和災難恢復計劃是？（）A、被存儲在另一地點B、與所有用戶溝通過C、定期測試D、定期升級29.在一個有多子系統的遠程訪問網絡里，下面哪個選項是最好的控制？（）A、代理服務器B、安裝防火墻C、網絡管理員D、密碼實施及管理30.信息安全技術體系架構能力成熟度分為五個級別，其中描述正確的是？（）A、能力級別1：未實施B、能力級別2：非規范化設計、基本執行級C、能力級別3：文檔化設計、規范定義級D、能力級別4：半形式化設計、測試驗證級31.TheISC2CodeofEthicsdoesnotincludewhichofthefollowingbehaviorsforaCISSP:ISC2道德規范對CISSP的要求不包括以下哪一項？（）A、Honesty誠實B、Ethicalbehavior道德行為C、Legality合法D、Control控制32.當對一個組織的內部網絡進行滲透測試時，下列哪些方法最好，使測試的進行在網絡中未被發現？（）A、使用現有的文件服務器或域控制器的IP地址B、每隔幾分鐘，暫停掃描，讓閾值重置C、在夜間，當沒有人登錄時進行掃描D、使用多個掃描工具，因為每個工具都有不同的特色33.年度損失值（ALE）的計算方法是什么？（）A、ALE=ARO*AVB、ALE=AV*SLEC、“ALE=ARO*SLE”D、ALE=AV*EF34.一名攻擊者試圖通過暴力攻擊來獲取？（）A、加密密鑰B、加密算法C、公鑰D、密文35.下面哪一項是對于通信組件失敗/錯誤的控制（）。A、限制操作訪問，維護審計軌跡B、監督和審查系統活動C、提供網絡冗余D、確定數據通過網絡傳輸的物理屏障36.令牌（Tokens），智能卡及生物檢測設備同時用于識別和鑒別，依據的是以下哪個原則？（）A、多因素鑒別原則B、雙因素鑒別原則C、強制性鑒別原則D、自主性鑒別原則37.以下無線加密標準中哪一項的安全性最弱（）。A、wepB、wpaC、wpa2D、wapi38.下列對于網絡認證協議（Kerberos）描述正確的是（）A、該協議使用非對稱密鑰加密機制B、密鑰分發中心由認證服務器、票據授權服務器和客戶機三個部分組成C、該協議完成身份鑒別后將獲取用戶票據許可票據D、使用該協議不需要時鐘基本同步的環境39.下面哪個機構是我國密碼工作主管單位？（）A、公安部B、保密局C、國務院D、國家密碼管理局40.拒絕服務攻擊導致的危害中，以下哪個說法是不正確的（）A、網絡帶寬被耗盡，網絡被堵塞，無法訪問網絡B、主機資源被耗盡，主機無法響應請求C、應用資源被耗盡，應用無法響應請求D、應用系統被破壞，應用無法響應請求41.關于冷站的計算機設備的組成，下面哪一種說法不正確（）。A、加熱系統，濕度控制和空調設備B、CPU和其它計算機設備C、電源連接D、通訊連接42.授權訪問信息資產的責任人應該是（）。A、資產保管員B、安全管理員C、資產所有人D、安全主管43.公司實施災難恢復計劃之后，下一步該做什么（）。A、獲得高層領導層的支持B、識別必需的業務C、實施書面測試D、作系統恢復測試44.與RSA加密相比，以下哪項是橢圓曲線加密的優點？（）A、計算速度B、能夠支持數字簽名C、更簡便的密鑰分配D、給定密鑰長度的強度更大45.在2014年巴西世界杯舉行期間，，一些黑客組織攻擊了世界杯贊助商及政府網站，制了大量網絡流量，阻塞正常用戶訪問網站。這種攻擊類型屬于下面什么攻擊（）A、跨站腳本（crosssitescripting，XSS）攻擊B、TCP會話劫持（TCPHIJACK）攻擊C、ip欺騙攻擊D、拒絕服務（denialservice.dos）攻擊46.局域網（LAN）管理員通常受限制于（不能）（）。A、具有終端用戶權限B、向終端用戶經理報告C、具有編程權限D、負責局域網安全管理47.在國家標準中，屬于強制性標準的是（）。A、GB/TXXXX-X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、QXXX-XXX-200X48.以下關于ISO/IEC27001標準說法不正確的是（）A、本標準可被內部和外部相關方用于一致性評估，審核的重點就是組織信息安全的現狀，對部屬的信息安全控制是好的還是壞的做出評判B、本標準采用一種過程方法米建立、實施、運行、監視、評審、保持和改進一個組織的ISMSC、目前國際標準化組織推出的四個管理體系標準：質量管理體系，職業健康安全管理體系、環境管理體系、信息安全管理體系，都采用了相同的方法，即PDCA模型D、本標準注重監視和評審，因為監視和評審是持續改進的基礎，如果缺乏對執行情況和有效性的測量，改進就成了“無的放矢”49.在審查一個基于web的軟件開發項目的過程中，信息系統審計師意識到編程代碼標準不是強制性的，并且代碼的審查也很少執行。這將會最可能增加下列哪個選項發生的可能性：（）A、緩沖區溢出B、暴力破解攻擊C、分布式拒絕服務攻擊D、戰爭撥號攻擊50.通過對稱密碼算法進行安全消息傳輸的必要條件是（）A、在安全的傳輸信道上進行通信B、通訊雙方通過某種方式，安全且秘密地共享密鑰C、通訊雙方使用不公開的加密算法D、通訊雙方將傳輸的信息夾雜在無用信息中傳輸并提取51.下面哪個角色對保護和控制敏感數據擔負最終責任（）。A、數據使用者B、安全管理者C、數據所有人D、數據保管人52.BIBA模型基于兩種規則來保障數據的完整性的保密性，分別是（）。A、上讀，主體不可讀安全級別高于它的數據；下寫，主體不可寫安全級別低于它的數據B、下讀，主體不可讀安全級別高于它的數據；上寫，主體不可寫安全級別低于它的數據C、上讀，主體不可讀安全級別低于它的數據；下寫，主體不可寫安全級別高于它的數據D、下讀，主體不可讀安全級別低于它的數據；上寫，主體不可寫安全級別高于它的數據53.一個組織為他的供應鏈伙伴和客戶提供信息，通過外聯網和基礎設施。下面哪一個是IS審計師在審查防火墻安全架構時應該最關注的（）。A、安全套接層為用戶認證和遠程管理防火墻B、基于變更需求，升級防火墻策略C、阻擋進入的通訊，除非通訊類型和連接被特別許可D、防火墻被配置在業務操作系統頂部并安裝了所有選項54.確定如何通過不同的平臺在異類環境中獲取數據，IS審計師首先應該審查（）。A、業務軟件B、基礎設施平臺工具C、應用服務D、系統開發工具55.下面對ISO27001的說法最準確的是（）。A、該標準的題目是信息安全管理體系實施指南B、該標準為度量信息安全管理體系的開發和實施提供的一套標準C、該標準提供了一組信息安全管理相關的控制和最佳實踐D、該標準為建立、實施、運行、監控、審核、維護和改進信息安全體系提供了一個模型56.在檢查通信系統維護過程時，下面哪一項是在確保客戶滿意度的審計目標時是最不關鍵的（）。A、確信建設圖紙的修改是保存在辦公室圖紙的復印件B、確信支持員工有相關知識并能執行必要的維護任務C、確信PBX設備的物理安全被適當的管理D、確信所提供的計劃和配置的靈活性給用戶帶來最小的影響57.審計師已經對一個金融應用的數據完整性進行了評估，下面哪一個發現是最重要的（）。A、應用程序所有者不知道IT部門對系統實施的一些應用B、應用數據每周只備份一次C、應用開發文檔不完整D、信息處理設施沒有受到適當的火災探測系統的保護58.在評價網絡監控的設計時，信息系統審計師首先要檢查網絡的（）。A、拓撲圖B、帶寬的使用C、流量分析報告D、瓶頸位置59.數據在進行傳輸前，需要由協議棧自上而下對數據進行封裝，TCP／IP協議中，數據封裝的順序是（）A、傳輸層、網絡接口層、互聯網絡層B、傳輸層、互聯網絡層、網絡接口層C、互聯網絡層、傳輸層、網絡接口層D、互聯網絡層、網絡接口層、傳輸層60.根據SSE-CMM以下哪項不是在安全工程過程中實施安全控制時需要做的？（）A、獲得用戶對安全需求的理解B、建立安全控制的職責C、管理安全控制的配置D、進行針對安全控制的教育培訓61.下列保護系統賬戶安全的措施中，哪個措施對解決口令暴力破解無幫助？（）A、設置系統的賬戶鎖定策略，在用戶登錄輸入錯誤次數達到一定數量時對賬戶進行鎖定B、更改系統內置管理員的用戶名C、給管理員賬戶一個安全的口令D、使用屏幕保護并設置返回時需要提供口令62.依據國家標準GB/T20274《信息系統安全保障評估框架》.在信息系統安全目標中，評估對象包括哪些內容？（）A、信息系統管理體系、技術體系、業務體系B、信息系統整體、信息系統安全管理、信息系統安全技術和信息系統安全工程C、信息系統安全管理、信息系統安全技術和信息系統安全工程D、信息系統組織機構、管理制度、資產63.以下哪一項對安全風險的描述是準確的？（）A、安全風險是指一種特定脆弱性利用一種或一組威脅造成組織的資產損失或損害的可能性B、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失事實C、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性D、安全風險是指資產的脆弱性被威脅利用的情形64.為防范網絡欺詐確保交易安全，網銀系統首先要求用戶安全登錄，然后使用“智能卡+短信認證”模式進行網上轉賬等交易，在此場景中用到下列哪些鑒別方法？（）A、實體“所知”以及實體“所有”的鑒別方法B、實體“所有”以及實體“特征”的鑒別方法C、實體“所知”以及實體“特征”的鑒別方法D、實體“所有”以及實體“行為”的鑒別方法65.在windows操作系統中，欲限制用戶無效登錄的次數，應當怎么做？（）A、在“本地安全設置”中對“密碼策略”進行設置B、在“本地安全設置”中對“賬戶鎖定策略”進行設置C、在“本地安全設置”中對“審核策略”進行設置D、在“本地安