（圖片大小可自由調整）2024年安防生產行業技能考試-注冊信息安全專業人員考試近5年真題集錦（頻考類試題）帶答案第I卷一.參考題庫(共100題)1.拒絕服務攻擊危及以下哪一項信息系統屬性（）。A、完整性B、可用性C、機密性D、可靠性2.組織的災難恢復計劃（DRP）中包含互惠協議時，應采用以下哪項風險應對方法（）A、轉移B、緩解C、回避D、接受3.信息安全管理體系（informationSecurltyManagementSystem.簡稱ISMS）要求建立過程體系，該過程體系是在如下（）基礎上構建的。A、IATF（InformationAssuranceTechnicalFramework）B、P2DR（Policy，Protection，Detection，Response）C、PDCERF（Preparation，Detection，Containment，Eradication，Recovery，Follow-up）D、PDCA（Plan，Do，Check，Act）4.以下哪一項是圖像處理的弱點？（）A、驗證簽名B、改善服務C、相對較貴D、減少處理導致的變形5.下面的哪一種反垃圾過濾技術可以最大程度地避免正常的、長度不定的、內容里存在多處垃圾郵件關鍵詞的電子郵件被識別為垃圾郵件（）。A、啟發式的過濾技術B、基于簽名的檢查C、模版匹配D、基于統計（學）的貝葉斯判斷（Bayesian）6.有關項目管理，錯誤的理解是：（）A、項目管理是一門關于項目資金、時間、人力等資源控制的管理科學B、項目管理是運用系統的觀點、方法和理論，對項目涉及的全部工作進行有效地管理，不受項目資源的約束C、項目管理，包括對項目范圍、時間成本、質量、人力、資源溝通、風險、采購、集成的管理D、項目管理是系統工程思想針對具體項目的實踐應用7.技術變革的速度增加了下面哪一項的重要性（）。A、外包IS功能B、實施和強化良好流程C、員工在組織中的建立事業的愿望D、滿足用戶要求8.我國標準《信息安全風險管理指南》（GB/Z24364）給出了信息安全風險管理的內容和過程，可以用下圖來表示。圖中空白處應該填寫（） A、風險計算B、風險評價C、風險預測D、風險處理9.與人工監控相比，以下除哪一項外都是自動環境控制的優勢（）。A、系統探測器執行診斷和分析B、順序關閉主機系統C、恢復緩慢D、問題記錄和通知10.下面哪項是分級保護方案設計指南？（）A、BMB-17B、BMB-23C、BMB-20D、BMB-511.以下哪一項是集成測試設施（ITF）的優勢（）。A、它利用了實際的主文件，因此IS審計人員可以不審查源交易B、定期測試不要求隔離測試過程C、它驗證應用系統并測試系統的持續運行D、它不需要準備測試數據12.通常，以下哪一種證據對IS審計師來說最可靠（）。A、收到的來自第三方的核實帳戶余額確認信B、一線經理確保應用程序如設計的方式工作C、C.從internet來源得到的數據趨勢（TrenddatD、由一線經理提供報告，IS審計師開發的比率分析13.關于信息安全等級保護政策，下列說法錯誤的是（）A、非涉密計算機信息系統實行等級保護，涉密計算機信息系統實行分級保護B、信息安全等級保護實行“自主定級，自主保護”的原則C、信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監督D、對三級以上信息系統實行備案要求，由公安機關頒發本案證明14.最優質的軟件實現（）。A、通過全面測試B、發現并快速糾正編程錯誤C、通過用可用的時間和預算確定測試數量D、通過使用定義明確的流程和對整個項目的結構審查15.EDI對內部控制的影響是（）。A、審查和批準較少存在B、固有認證C、由第三方擁有的適當分配的EDI交易D、IPF管理將會增加對于數據中心控制的責任16.下面哪一種拒絕服務攻擊在網絡上不常見（）。A、服務過載B、對消息的洪水攻擊C、連接阻塞D、信號接地17.Tobeadmissibleincourt,computerevidencemustbewhichofthefollowing?被法庭采納的計算機證據必須是？（）A、Incriminating歸罪的B、Edited編輯過的C、Decrypted解密的D、Relevant相關的18.網絡管理員最不應該與下列哪個角色共享責任（）。A、質量保障。B、系統管理員。C、應用程序員。D、系統分析員。19.白盒法是在測試過程中，由詳細設計提供的文檔，從軟件的具體的邏輯結構和執行路徑出發，設計測試用例，完成測試的目的，在軟件測試中，白盒法是通過分析程序的（）來設計測試用例的。A、應用范圍B、功能C、內部邏輯D、輸入數據20.第四代語言的一個突出特點是可移植性，這意味著（）。A、環境獨立B、工作臺概念C、設計屏幕格式和圖形化輸出的能力D、能夠運行在線操作21.下面哪一種關于安全的說法是不對的？（）A、加密技術的安全性不應大于使用該技術的人的安全性B、任何電子郵件程序的安全性不應大于實施加密的計算機的安全性C、加密算法的安全性與密鑰的安全性一致D、每個電子郵件消息的安全性是通過用標準的非隨機的密鑰加密來實現22.SSL協議通過以下哪種方式來確保消息的機密性？（）A、對稱加密B、消息驗證代碼C、哈希函數D、數字簽名認證23.通常在設計VLAN時，以下哪一項不是VIAN規劃方法？（）A、基于交換機端口B、基于網絡層協議C、基于MAC地址D、基于數字證書24.降低企業所面臨的信息安全風險的手段，以下說法不正確的是（）？A、通過良好的系統設計、及時更新系統補丁，降低或減少信息系統自身的缺陷B、通過數據備份、雙機熱備等冗余手段來提升信息系統的可靠性C、建立必要的安全制度和部署必要的技術手段，防范黑客和惡意軟件的攻擊D、通過業務外包的方式，轉嫁所有的安全風險責任25.下列哪項在評價信息系統戰略時最重要（）。A、確保信息系統戰略最大化目前和未來信息技術資源的效率和利用。B、確保在所有信息系統中考慮信息安全。C、確保信息系統戰略支持公司愿景和目標。D、確保系統管理員為系統能力提供準確的輸入。26.維護災難恢復計劃的運營開銷與沒有災難恢復計劃的運營開銷相比，下列描述最接近的是：（）A、增加B、減少C、相同D、無法預知27.在一個在線事務處理系統（OLTP）中，當發現錯誤或非法交易時，應該采取下面那一項活動？（）A、事務應寫進報告，并進行檢查B、交易應該進行更正并進行再處理C、程序做了一定調整后，事務應該繼續處理D、這些事務應該停止執行28.為中國信息安全測評中心cisp注冊信息安全專業人員，對通過cisp之外還需要滿足一基本要求，以下哪一項不屬于這些基本要求？（）A、滿足注冊信息安全人員（cisp）注冊資質的教育背景要求B、同意并遵守注冊信息安全專業人員（cisp）執業準則C、在政府機關或重要信息系統的主管后運營單位從事信息安全保障工作或為其提供安全D、參加并完成由中國信息安全測評中心（CNITSEC）授權培訓機構組織的注冊信息安全專業人員（cisp）專業培訓29.WhichofthefollowingarenecessarycomponentsofaMulti-LevelSecurityPolicy?下列哪一項是多級安全策略必需的組件？（）A、SensitivityLabelsforsubjects&objectsanda"systemhigh"evaluation.對主體和客體實施敏感性標識以及對其進行系統高的評價B、SecurityClearancesforsubjects&SecurityLabelsforobjectsandMandatoryAccessControl.對主體和客體安全標識的安全許可以及強制訪問控制C、SensitivityLabelsforonlyobjectsandMandatoryAccessControl.只針對客體的敏感性標識和強制訪問控制D、SensitivityLabelsforsubjects&objectsandDiscretionaryAccessControl.對主體及客體的敏感性表情和自主訪問控制30.下面哪項不是實施信息安全管理的關鍵成功因素？（）A、理解組織文化B、得到高層承諾C、部署安全產品D、納入獎懲機制31.某黑客通過分析和整理某報社記者小張的博客，找到一些有用的信息，通過偽裝的新聞線索，誘使其執行木馬程序，從而控制了小張的電腦，并以她的電腦為攻擊的端口，使報社的局域網全部感染木馬病毒。為防范此類社會工程學政擊，報社不需要做的是（）。A、加強信息安全意識培訓,提高安全防范能力,了解各種社會工程學攻擊方法,防止受到此類攻擊B、建立相應的安全相應應對措施,當員工受到社會工程學的攻擊,應當及時報告C、教育員工注重個人隱私保護D、減少系統對外服務的端口數量,修改服務旗標32.計算機應用系統的安全性在如下那種情況下最經濟，效果也最好：（）A、系統在安全附加之前已經得到了優化B、系統被定制以對抗特定威脅C、系統是通過招標購買的標準貨架式商品D、系統的初始設計就已經提供了必要的安全性33.入侵檢測系統的分類可以分為（）A、入侵檢測系統可分為主機型和網絡型B、入侵檢測系統可以分為百兆和千兆C、入侵檢測系統可以分為串行和并行D、入侵檢測系統可以分為2U和1U34.存儲過程是SQL語句的一個集合，在一個名稱下儲存，按獨立單元方式執行，以下哪一項不是使用存儲過程的優點？（）A、提高性能，應用程序不用重復編譯此過程B、降低用戶查詢數量，減輕網絡擁塞C、語句執行過程中如果中斷，可以進行數據回滾，保證數據的完整性和一致性D、可以控制用戶使用存儲過程的權限，以增強數據庫的安全性35.為了確保組織遵守隱私要求，一個信息系統審計師應首先評審：（）A、IT基礎設施B、組織策略，標準和程序C、法律和法規的要求D、組織的策略，標準和程序36.在審計業務連續性計劃期間，某信息系統審計師發現：雖然所有的部門都在同一個辦公樓內辦公，但是每個部門都有獨立的業務連續性計劃。他建議將這些業務連續一致起來，下列哪個領域該被首先統一起來：（）A、撤退計劃B、復原優先級C、備份存貯D、呼叫樹37.以下哪一項是對提供給供應商員工的訪客無線ID的最佳控制（）A、分配每日過期的可更新用戶IDB、采用一次性寫入日志來監控供應商的系統活動C、使用類似于員工使用的ID格式D、確保無線網絡加密得到正確配置38.調試程序的目的是（）。A、用于產生在實施之前測試程序的隨機數B、保證有效變更，防止被其他變更程序重寫C、定義程序開發和維護費用列入可行性研究D、確保異常中斷和編碼錯誤被檢查和糾正39.以下哪一種安全威脅與無線局域網絡最不相關（）。A、信息攔截B、系統不可用C、系統不可靠D、設備盜竊40.以下對單點登錄技術描述不正確的是（）A、單點登錄技術實質是安全憑證在多個用戶之間的傳遞或共享B、使用單點登錄技術用戶只需在登錄時進行一次注冊，就可以訪問多個應用C、單點登錄不僅方便用戶使用，而且也便于管理D、使用單點登錄技術能簡化應用系統的開發41.下列哪些措施能夠最有效地較少設備捕獲其他設備信息包的能力（）。A、過濾器B、交換機C、路由器D、防火墻42.WhatisacharacteristicofusingtheElectronicCodeBookmodeofDESencryption?以下哪一項特征是使用DES中電子密碼本？（）A、Repetitiveencryptionobscuresanyrepeatedpatternsthatmayhavebeenpresentintheplaintext.反復加密以掩蓋任何可能在明文出現的重復模式B、ThepreviousDESoutputisusedasinput.之前的DES加密輸出被用來作為輸入C、Individualcharactersareencodedbycombiningoutputfromearlierencryptionroutineswithplaintext.單個字符從之前明文加密程序的結合輸出來進行編碼D、Agivenblockofplaintextandagivenkeywillalwaysproducethesameciphertext.一個給定的明文和一個給定的密鑰將總是產生相同的密文。43.事件響應六個階段定義了安全事件處理的流程，這個流程的順序是（）。A、準備－遏制－確認－根除－恢復－跟蹤B、準備－確認－遏制－恢復－根除－跟蹤C、準備－確認－遏制－根除－恢復－跟蹤D、準備－遏制－根除－確認－恢復－跟蹤44.在一個中斷和災難事件中，以下哪一項提供了持續運營的技術手段？（）A、負載平衡B、硬件冗余C、分布式備份D、高可用性處理45.IS審計師對于與員工相關的IS管理實踐審計進行一般控制審計，應該特別關注的是（）。A、強制休假政策和遵守情況B、人員分類和公平的補償政策C、員工培訓D、分配給員工的職責46.下面哪項是信息安全管理體系中CHECK（檢查）中的工作內容？（）A、按照計劃的時間間隔進行風險評估的評審B、實施所選擇的控制措施C、采取合適的糾正和預防措施。從其它組織和組織自身的安全經驗中吸取教訓D、確保改進達到了預期目標47.審計業務連續性計劃時，下面哪個審計發現需要特別關注（）。A、今年新購置的設備、資產沒有購買相應的保險B、BCP手冊沒有經常更新C、不經常實施備份數據的測試D、維護訪問系統的記錄不知去向48.一個組織的系統安全能力成熟度模型達到哪個級別以后，就可以考慮為過程域（PR）的實施提供充分的資源？（）A、2級――計劃和跟蹤B、3級――充分定義C、4級――最化控制D、5級――持續改進49.以下哪一項不是建筑物的自動化訪問審計系統記錄的日志的內容（）A、出入的原因B、出入的時間C、出入口的位置D、是否成功進入50.在審查系統參數時，審計師首先應關注（）。A、參數設置符合安全性和性能要求B、變更被記入審計軌跡并定期審查C、變更被合適的文檔進行授權和支持D、對系統中參數的訪問被嚴格限制51.通常，黑客使用如下哪一種攻擊手段時，會引起對互聯網站點的分布式拒絕服務攻擊（DDos）（）。A、邏輯炸彈B、網絡釣魚C、間諜軟件D、特洛伊木馬52.特洛伊木馬攻擊的危脅類型屬于（）。A、授權侵犯威脅B、植入威脅C、滲入威脅D、破壞威脅53.為了處理組織災難恢復的要求，備份時間間隔不應該超過？（）A、服務水平目標（SLO）B、恢復時間目標（RTO）C、恢復點目標（RPO）D、最大可接受中斷（MAO）54.對評價電子數據交換（EDI）應用軟件的控制時，IS審計人員應該首先關注到哪個風險：（）A、過多的交易轉換時間B、應用程序界面錯誤C、不恰當的授權處理D、未經核實的批量總數55.一家金融服務公司擁有一個獨立代理用來管理客戶賬戶的網站。在檢查系統的邏輯訪問時，IS審計師注意到，一些用戶ID似乎被多個代理用戶共享。此時，IS審計師最適合采取以下哪項行動：（）A、通知審計委員會存在潛在問題B、要求詳細審查相關ID的審計日志C、記錄結果并對使用共享ID的風險作出解釋D、聯系安全經理，要求從系統中刪除這些ID56.下面哪一項可以將電子郵件從一個網絡傳送到另一個格式，使信息可以穿過網絡（）。A、網關B、協議轉換器C、前端處理機D、集中器/復用器57.系統管理員屬于（）？A、決策層B、管理層C、執行層D、既可以劃為管理層，又可以劃為執行層58.在風險管理工作中“監控審查”的目的，一是（）；二是（）。A、保證風險管理過程的有效性；保證風險管理成本的有效性B、保證風險管理結果的有效性；保證風險管理成本的有效性C、保證風險管理過程的有效性；保證風險管理活動的決定得到認可D、保證風險管理結果的有效性；保證風險管理活動的決定得到認可59.以下哪些不屬于脆弱性范疇？（）A、黑客攻擊B、操作系統漏洞C、應用程序BUGD、人員的不良操作習慣60.下列哪一項是創建防火墻策略的第一步：（）A、成本效益分析的以方法確保應用程序B、需要識別在外部訪問的網絡應用C、需要識別在外部訪問的網絡應用的脆弱性D、創建一個應用程序的流量矩陣現實保護方式61.什么是變更控制系統中最重要的部分（）。A、所有的變更都必須文檔化和被批準B、變更通過自動化工具來管理，防止人為訪問C、一旦變更失敗，生產的備份被維護D、通過測試和批準來確保質量62.劃分VLAN主要解決什么問題？（）A、隔離廣播B、解決安全性C、隔離故障域D、解決帶寬問題63.為了防止授權用戶不會對數據進行未經授權的修改，需要實施對數據的完整性保護，列哪一項最好地描述了星或（*-）完整性原則？（）A、Bell-LaPadula模型中的不允許向下寫B、Bell-LaPadula模型中的不允許向上度C、Biba模型中的不允許向上寫D、Biba模型中的不允許向下讀64.數據庫管理員建議要提高關系數據庫的性能可以denormalizing一些表，這可能導致（）。A、保密性損失B、增加冗余C、非授權訪問D、應用故障65.在OSI參考模型中有7個層次，提供了相應的安全服務來加強信息系統的安全性，以下哪一層提供了保密性、身份鑒別、數據完整性服務？（）A、網絡層B、表示層C、會話層D、物理層66.以下哪一項對安全風險的描述是準確的（）。A、安全風險是指一種特定脆弱性利用一種或一組威脅造成組織的資產損失或損害的可能性B、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失事實C、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性D、安全風險是指資產的脆弱性被威脅利用的情形67.在制定風險基礎審計策略時，IS審計師需要進行風險評估審計，目的是保證（）。A、減輕風險的控制到位B、確定了脆弱性和威脅C、審計風險的考慮.D、Gap差距分析是合適的.68.IS審計師的決策和行動最有可能影響下面哪種風險（）。A、固有風險B、檢查分析C、控制風險D、業務風險69.在軟件開發項目中，整體全面質量管理（TQM）的基本要點在于（）。A、全面文件B、準時交貨C、成本控制D、用戶滿意70.下面的問題參考下圖，下圖代表一個假設的內部設施，組織實施防火墻保護程序，防火墻應該安裝在（）。 A、防火墻是沒有必要的B、安裝在op-3C、mis和NAT2D、SMTP網關和op-371.在一個組織內部，IT安全的職責被清晰分配并強制執行，且IT安全風險和影響分析被一貫執行。這代表了以下安全治理的哪種成熟度模型（）。A、最優的B、可管理的C、定義級D、重復級72.如果出現IT人員和最終用戶職責分工的問題，下面哪個選項是合適的補償性控制？（）A、限制物理訪問計算機設備B、檢查應用及事務處理日志C、在聘請IT人員之前進行背景檢查D、在不活動的特定時間后，鎖定用戶會話73.在業務連續性計劃（BCP）中，下面哪個求救電話目錄是最重要的（）。A、先聯系設備供貨商和電力、通訊等資源B、先聯系保險公司C、先聯系人力中介公司D、已排定優先級的聯絡表（緊急救援電話表）74.所有進入物理安全*區域的人員都需經過（）。A、考核B、授權C、批準D、認可75.WEB服務器的逆向代理技術用于如下哪一種情況下（）。A、HTTP服務器的地址必須隱藏B、需要加速訪問所有發布的頁面C、為容錯而要求緩存技術D、限制用戶（指操作員的帶寬）76.為獲得最有效的交易安全，指出以下應使用加密技術的層次（）。A、整個信息包層次B、記錄層次C、文件層次D、信息字段層次77.信息安全組織的管理涉及內部組織和外部各方兩個控制目標，為了實現控制外部各方的目標應該包括下列哪個選項：（）A、信息安全的管理承諾、信息安全協調、信息安全職責的分配B、信息處理設施的授權過程、保密性協議、與政府部門的聯系C、與特定利益集團的聯系、信息安全的獨立評審D、與外部各方相關風險的識別、處理外部各方協議中的安全問題78.由于Internet的安全問題日益突出，基于TCP/IP協議，相關組織和專家在協議的不同層次設計了相應的安全通信協議，用來保障網絡各層次的安全。其中，屬于或依附于傳輸層的安全協議是（）。A、PP2PB、L2TPC、SSLD、IPSec79.在確定關鍵業務流程在可接受的時間內恢復時：（）A、只有停機費用需要考慮B、恢復操作進行分析C、同時對停機成本和恢復成本進行評估D、間接停機費用應該被忽略80.在信息系統安全中，暴露由以下哪兩種因素共同構成的？（）A、攻擊和脆弱性B、威脅和攻擊C、威脅和脆弱性D、威脅和破壞81.風險評估和管理工具通常是指什么工具？（）A、漏洞掃描工具B、入侵檢測系統C、安全審計工具D、安全評估流程管理工具82.下列哪些控制可以最有效的發現網絡傳輸錯誤（）。A、奇偶校驗（可以發現多個錯誤）B、回聲檢查C、阻塞總數檢查D、循環冗余檢查83.下面哪一個不屬于基于OSI七層協議的安全體系結構的5種服務之一？（）A、數據完整性B、數據保密性C、數字簽名D、抗抵賴84.建立數據所有權關系的任務應當是下列哪一種人的責任（）。A、職能部門用戶B、內部審計人員C、數據處理人員D、外部審計人員85.USB端口（）。A、連接網絡，無需網卡B、連接具有以太網適配器的網絡C、替換所有連接D、連接顯示器86.當檢查輸入控制時，信息系統審計師發現企業一致性策略中，流程允許超級用戶覆蓋數據驗證結果。此IS審計師應該：（）A、不關心，可能有其他修補控制來降低風險B、確保覆蓋會自動記錄并接受檢查C、驗證是否所有這些覆蓋被提交給高級管理人員批準D、建議不允許覆蓋87.在以下標準中，屬于推薦性國家標準的是？（）。A、GB/TXXXX.X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、GB/ZXXX-XXX-200X88.下列哪種算法通常不被用戶保證保密性？（）A、AESB、RC4C、RSAD、MD589.IS審計師檢查無線網絡安全時，發現它沒有啟用動態主機配置協議（DHCP）。這樣的設置將（）。A、降低未經授權即訪問網絡資源的風險B、不適用于小型網絡C、能自動分配IP地址D、增加無線加密協議（WEP）相關的風險90.下列哪一項體現了適當的職責分離？（）A、磁帶操作員被允許使用系統控制臺B、操作員是不允許修改系統時間C、允許程序員使用系統控制臺D、控制臺操作員被允許裝載磁帶和磁盤91.一般由系統所有者上級單位或主管信息安全的機構授權信息系統投入運行的最后一步叫做（）A、正式發布B、認證C、驗證D、認可92.下面哪一種控制是內聯網的一種有效安全控制（）。A、電話回叫B、固定的口令C、防火墻D、動態口令93.下面哪一項IS審計師可用來確定編輯和確認程序的有效性（effectiveness）（）。A、域完整性測試B、相關完整性測試C、參照完整性測試D、奇偶校驗檢查94.下列哪個不是《商用密碼管理條例》規定的內容？（）A、國家密碼管理委員會及其辦公室（簡稱密碼管理機構）主管全國的商用密碼管理工作B、商用密碼技術屬于國家秘密，國家對商用密碼產品的科研、生產、銷售和使用實行專控管理C、商用密碼產品由國家密碼管理機構許可的單位銷售D、個人可以使用經國家密碼管理機構認可之外的商用密碼產品95.下列對防火墻描述正確的是（）A、防火墻可以完全取代接入設備B、只要安裝了防火墻網絡就安全了C、防火墻根據需要合理配置才能使網絡達到相應的安全級別D、防火墻可以阻斷病毒的傳播96.下列哪些類型防火墻可以最好的防范從互聯網絡的攻擊（）。A、屏蔽子網防火墻B、應用過濾網關C、包過濾路由器D、電路級網關97.防范密碼嗅探攻擊計算機系統的控制措施包括下列哪一項？（）A、靜態和重復使用