1.在橙皮書的概念中,信任是存在於以下哪一項中的?
A. 操作系統
B. 網絡
C. 數據庫
D. 應用程序系統
答案:A
備註:[標準和法規(TCSEC)]
2.下述攻擊手段中不屬於DOS攻擊的是: ()
A. Smurf攻擊
B. Land攻擊
C. Teardrop攻擊
D. CGI溢出攻擊
答案:D。
3.“中華人民共和國保守國家祕密法”第二章規定了國家祕密的範圍和密級,國家祕密的密級分爲:()
A. “普密”、“商密”兩個級別
B. “低級”和“高級”兩個級別
C. “絕密”、“機密”、“祕密”三個級別
D. “一密”、“二密”、“三密”、“四密”四個級別
答案:C。
4.應用軟件測試的正確順序是:
A. 集成測試、單元測試、系統測試、驗收測試
B. 單元測試、系統測試、集成測試、驗收測試
C. 驗收測試、單元測試、集成測試、系統測試
D. 單元測試、集成測試、系統測試、驗收測試
答案:選項D。
5.多層的樓房中,最適合做數據中心的位置是:
A. 一樓
B. 地下室
C. 頂樓
D. 除以上外的任何樓層
答案:D。
6.隨着全球信息化的發展,信息安全成了網絡時代的熱點,爲了保證我國信息產業的發展與安全,必須加強對信息安全產品、系統、服務的測評認證,中國信息安全產品測評認證中心正是由國家授權從事測評認證的國家級測評認證實體機構,以下對其測評認證工作的錯誤認識是:
A. 測評與認證是兩個不同概念,信息安全產品或系統認證需經過申請、測試、評估,認證一
系列環節。
B. 認證公告將在一些媒體上定期發佈,只有通過認證的產品纔會向公告、測試中或沒有通過
測試的產品不再公告之列。
C. 對信息安全產品的測評認證制度是我國按照WTO規則建立的技術壁壘的管理體制。
D. 通過測試認證達到中心認證標準的安全產品或系統完全消除了安全風險。
答案:D。
7.計算機安全事故發生時,下列哪些人不被通知或者最後才被通知:
A. 系統管理員
B. 律師
C. 恢復協調員
D. 硬件和軟件廠商
答案:B。
8.下面的哪種組合都屬於多邊安全模型?
A. TCSEC 和Bell-LaPadula
B. Chinese Wall 和BMA
C. TCSEC 和Clark-Wilson
D. Chinese Wall 和Biba
答案:B。
9.下面哪種方法可以替代電子銀行中的個人標識號(PINs)的作用?
A. 虹膜檢測技術
B. 語音標識技術
C. 筆跡標識技術
D. 指紋標識技術
答案:A。
備註:[安全技術][訪問控制(標識和鑑別)]
10.拒絕服務攻擊損害了信息系統的哪一項性能?
A. 完整性
B. 可用性
C. 保密性
D. 可靠性
答案:B。
備註:[安全技術][安全攻防實踐]
11.下列哪一種模型運用在JAVA安全模型中:
A. 白盒模型
B. 黑盒模型
C. 沙箱模型
D. 灰盒模型
答案:C。
備註:[信息安全架構和模型]
12.以下哪一個協議是用於電子郵件系統的?
A. X.25
B. X.75
C. X.400
D. X.500
答案:C。
備註:[安全技術][ICT信息和通信技術-應用安全(電子郵件)]
13.“如果一條鏈路發生故障,那麼只有和該鏈路相連的終端纔會受到影響”,這一說法是適合於以下哪
一種拓撲結構的網絡的?
A. 星型
B. 樹型
C. 環型
D. 複合型
答案:A。
備註:[安全技術][ICT信息和通信技術]
14.在一個局域網的環境中,其內在的安全威脅包括主動威脅和被動威脅。以下哪一項屬於被動威脅?
A. 報文服務拒絕
B. 假冒
C. 數據流分析
D. 報文服務更改
答案:C。
備註:[安全技術][安全攻防實踐]
15.Chinese Wall模型的設計宗旨是:
A. 用戶只能訪問那些與已經擁有的信息不衝突的信息
B. 用戶可以訪問所有信息
C. 用戶可以訪問所有已經選擇的信息
D. 用戶不可以訪問那些沒有選擇的信息
答案:A。
備註:[(PT)信息安全架構和模型]-[(BD)安全模型]-[(KA)強制訪問控制(MAC)模型]-[(SA)Chinese Wall模型],基本概念理解
16.ITSEC中的F1-F5對應TCSEC中哪幾個級別?
A. D到B2
B. C2到B3
C. C1到B3
D. C2到A1
答案:C。
備註:[(PT)信息安全標準和法律法規]-[(BD)信息安全標準]-[(KA)信息安全技術測評標準],概念記憶。
17.下面哪一個是國家推薦性標準?
A. GB/T 18020-1999 應用級防火牆安全技術要求
B. SJ/T 30003-93 電子計算機機房施工及驗收規範
C. GA 243-2000 計算機病毒防治產品評級準則
D. ISO/IEC 15408-1999 信息技術安全性評估準則
答案:A。
備註:[(PT)信息安全標準和法律法規]-[(BD)信息安全法律法規]。
18.密碼處理依靠使用密鑰,密鑰是密碼系統裏的最重要因素。以下哪一個密鑰算法在加密數據與解密時
使用相同的密鑰?
A. 對稱的公鑰算法
B. 非對稱私鑰算法
C. 對稱密鑰算法
D. 非對稱密鑰算法
答案:C。
備註:[(PT)安全技術]-[(BD)信息安全機制]-[(KA)密碼技術和應用],基本概念理解。
19.在執行風險分析的時候,預期年度損失(ALE)的計算是:
A. 全部損失乘以發生頻率
B. 全部損失費用+實際替代費用
C. 單次預期損失乘以發生頻率
D. 資產價值乘以發生頻率
答案:C。
備註:[(PT)安全管理]-[(BD)關鍵安全管理過程]-[(KA)風險評估],基本概念。
20.作爲業務持續性計劃的一部分,在進行風險評價的時候的步驟是:
- 考慮可能的威脅
- 建立恢復優先級
- 評價潛在的影響
- 評價緊急性需求
A. 1-3-4-2
B. 1-3-2-4
C. 1-2-3-4
D. 1-4-3-2
答案:A。
備註:[安全管理][業務持續性計劃]
http://www.doczj.com/doc/97ef51b743323968011c92a5.html中安全功能/保證要求的三層結構是(按照由大到小的順序):
A. 類、子類、組件
B. 組件、子類、元素
C. 類、子類、元素
D. 子類、組件、元素
答案:A。
備註:[(PT)信息安全標準和法律法規]-[(BD)信息安全標準]-[(KA)信息安全技術測評標準]-[(SA)CC],概念。
22.有三種基本的鑑別的方式: 你知道什麼,你有什麼,以及:
A. 你需要什麼
B. 你看到什麼
C. 你是什麼
D. 你做什麼
答案:C。
備註:[(PT)安全技術]-[(BD)信息安全機制]-[(KA)訪問控制系統]
23.爲了有效的完成工作,信息系統安全部門員工最需要以下哪一項技能?
A. 人際關係技能
B. 項目管理技能
C. 技術技能
D. 溝通技能
答案:D。
備註:[(PT)安全管理]-[(BD)組織機構和人員保障],概念。
24.以下哪一種人給公司帶來了最大的安全風險?
A. 臨時工
B. 諮詢人員
C. 以前的員工
D. 當前的員工
答案:D。
備註:[(PT)安全管理]-[(BD)組織機構和人員保障],概念。
25.SSL提供哪些協議上的數據安全:
A. HTTP,FTP和TCP/IP
B. SKIP,SNMP和IP
C. UDP,VPN和SONET
D. PPTP,DMI和RC4
答案:A。
26.在Windows 2000中可以察看開放端口情況的是:
A. nbtstat
B. net
C. net show
D. netstat
答案:D。
27.SMTP連接服務器使用端口
A. 21
B. 25
C. 80
D. 110
答案:選項B。
備註:[PT-安全技術]-[BD-信息和通信技術(ICT)安全]-[KA-電信和網絡安全],基本概念。
28.在計算機中心,下列哪一項是磁介質上信息擦除的最徹底形式?
A. 清除
B. 淨化
C. 刪除
D. 破壞
答案:D。
備註:[(PT)安全管理]-[(BD)生命週期安全管理]-[(KA)廢棄管理]
29.以下哪一種算法產生最長的密鑰?
A. Diffe-Hellman
B. DES
C. IDEA
D. RSA
答案:D。
30.下面哪一種風險對電子商務系統來說是特殊的?
A. 服務中斷
B. 應用程序系統欺騙
C. 未授權的信息泄漏
D. 確認信息發送錯誤
答案:D。
31.以下哪一項不屬於惡意代碼?
A. 病毒
B. 蠕蟲
C. 宏
D. 特洛伊木馬
答案:C。
32、 以下對信息安全描述不正確的是
A.信息安全的基本要素包括保密性、完整性和可用性
B.信息安全就是保障企業信息系統能夠連續、可靠、正常地運行,使安全事件對業務造成的影響減到最小,確保組織業務運行的連續性
C.信息安全就是不出安全事故/事件
D.信息安全不僅僅只考慮防止信息泄密就可以了
【答案】C
33 、以下對信息安全管理的描述錯誤的是
A 保密性、完整性、可用性
B.抗抵賴性、可追溯性
C.真實性私密性可靠性
D.增值性
【答案】D
34 、以下對信息安全管理的描述錯誤的是
A.信息安全管理的核心就是風險管理
B.人們常說,三分技術,七分管理,可見管理對信息安全的重要性
C.安全技術是信息安全的構築材料,安全管理是真正的粘合劑和催化劑
D.信息安全管理工作的重點是信息系統,而不是人
【答案】D
35、企業按照ISO27001標準建立信息安全管理體系的過程中,對關鍵成功因素的描述不正確的是
A. 不需要全體員工的參入,只要IT部門的人員參入即可
B. 來自高級管理層的明確的支持和承諾
C.對企業員工提供必要的安全意識和技能的培訓和教育
D. 所有管理者、員工及其他夥伴方理解企業信息安全策略、指南和標準,並遵照執行
【答案】A
36、 信息安全管理體系(ISMS)是一個怎樣的體系,以下描述不正確的是
A. ISMS是一個遵循PDCA模式的動態發展的體系
B. ISMS是一個文件化、系統化的體系
C.ISMS採取的各項風險控制措施應該根據風險評估等途徑得出的需求而定
D. ISMS應該是一步到位的,應該解決所有的信息安全問題
【答案】D
37、 PDCA特徵的描述不正確的是
A. 順序進行,週而復始,發現問題,分析問題,然後是解決問題
B. 大環套小環,安全目標的達成都是分解成多個小目標,一層層地解決問題
C.階梯式上升,每次循環都要進行總結,鞏固成績,改進不足
D. 信息安全風險管理的思路不符合PDCA的問題解決思路
【答案】D
38、 以下哪個不是信息安全項目的需求來源
A. 國家和地方政府法律法規與合同的要求
B. 風險評估的結果
C.組織原則目標和業務需要
D. 企業領導的個人意志
【答案】D
39、 ISO27001認證項目一般有哪幾個階段?
A. 管理評估,技術評估,操作流程評估
B. 確定範圍和安全方針,風險評估,風險控制(文件編寫),體系運行,認證
C.產品方案需求分析,解決方案提供,實施解決方案
D. 基礎培訓,RA培訓,文件編寫培訓,內部審覈培訓
【答案】B
40、 構成風險的關鍵因素有哪些?
A. 人,財,物
B. 技術,管理和操作
C.資產,威脅和弱點
D. 資產,可能性和嚴重性
【答案】C
41、. 以下哪些不是應該識別的信息資產?
A. 網絡設備
B.客戶資料
C. 辦公桌椅
D. 系統管理員
【答案】C
42、 以下哪些是可能存在的威脅因素?B
A. 設備老化故障
B.病毒和蠕蟲
C. 系統設計缺陷
D. 保安工作不得力
【答案】B
43、 以下哪些不是可能存在的弱點問題?
A. 保安工作不得力
B.應用系統存在Bug
C. 內部人員故意泄密
D. 物理隔離不足
【答案】C
44、. 風險評估的過程中,首先要識別信息資產,資產識別時,以下哪個不是需要遵循的原則?
A. 只識別與業務及信息系統有關的信息資產,分類識別
B.所有公司資產都要識別
C. 可以從業務流程出發,識別各個環節和階段所需要以及所產出的關鍵資產
D. 資產識別務必明確責任人、保管者和用戶
【答案】B
45、風險分析的目的是?
A. 在實施保護所需的成本與風險可能造成的影響之間進行技術平衡;
B.在實施保護所需的成本與風險可能造成的影響之間進行運作平衡;
C. 在實施保護所需的成本與風險可能造成的影響之間進行經濟平衡;
D. 在實施保護所需的成本與風險可能造成的影響之間進行法律平衡;【答案】C
46、. 對於信息安全風險的描述不正確的是?
A. 企業信息安全風險管理就是要做到零風險
B. 在信息安全領域,風險(Risk)就是指信息資產遭受損壞並給企業帶來負面影響及其潛在可能性
C.風險管理(Risk Management)就是以可接受的代價,識別控制減少或消除可能影響信息系統的安全風險的過程。
D. 風險評估(Risk Assessment)就是對信息和信息處理設施面臨的威脅、受到的影響、存在的弱點以及威脅發生的可能性的評估。
【答案】A
47、 有關定性風險評估和定量風險評估的區別,以下描述不正確的是
A. 定性風險評估比較主觀,而定量風險評估更客觀
B. 定性風險評估容易實施,定量風險評估往往數據準確性很難保證
C.定性風險評估更成熟,定量風險評估還停留在理論階段
D. 定性風險評估和定量風險評估沒有本質區別,可以通用
【答案】D
48、 降低企業所面臨的信息安全風險,可能的處理手段不包括哪些
A. 通過良好的系統設計、及時更新系統補丁,降低或減少信息系統自身的缺陷
B. 通過數據備份、雙機熱備等冗餘手段來提升信息系統的可靠性;
C.建立必要的安全制度和部署必要的技術手段,防範黑客和惡意軟件的攻擊
D. 通過業務外包的方式,轉嫁所有的安全風險
【答案】D
49、 風險評估的基本過程是怎樣的?
A. 識別並評估重要的信息資產,識別各種可能的威脅和嚴重的弱點,最終確定風險
B. 通過以往發生的信息安全事件,找到風險所在
C.風險評估就是對照安全檢查單,查看相關的管理和技術措施是否到位
D. 風險評估並沒有規律可循,完全取決於評估者的經驗所在
【答案】A
50、 企業從獲得良好的信息安全管控水平的角度出發,以下哪些行爲是適當的
A. 只關注外來的威脅,忽視企業內部人員的問題
B. 相信來自陌生人的郵件,好奇打開郵件附件
C.開着電腦離開,就像離開家卻忘記關燈那樣
D. 及時更新系統和安裝系統和應用的補丁
【答案】D