信息安全練習題

模擬考試試卷（F）是（。BCD.等級型答案：DCISP2.0/3.0信息安全風險值應該是以下哪些因素的函數(shù)？（）信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性病毒、黑客、漏洞等D．網(wǎng)絡、系統(tǒng)、應用的復雜程度答案：A以下關于開展軟件安全開發(fā)必要性描錯誤的是？（）軟件應用越來越廣泛 用場景越來越不安全C．軟件安全問題普遍存在D.以上都不是答案：D（）的原理來設計軟件，這就是軟件工程誕生的基礎BCD.工程學答案：D？（）標準B.CCC.FCD.ITSEC答案：BCCCCCCA．要充分企切合信息安全需求并且實際可行B．要充分考慮成本效益，在滿足合規(guī)性要求和風險處置要求的前提下，盡量控制成本D．要充分考慮用戶管理和文化的可接受性，減少系統(tǒng)方案實驗障礙答案：C災備指標是指信息安全系統(tǒng)的容災抗毀能力，主要包括四個具體指標：恢復時間目標（RecoveryTimeOhjective,RTO）.恢復點目標（RecoveryPointObjective,RPO）降級操作目標（DegradedOperationsOb（NeLworkRecoveryObjective-NRO）,小華準備為其工作的信息系統(tǒng)擬定RO，以下描述中，正確的是（。A．RPO-O，相當于沒有任何數(shù)據(jù)丟失，但需要進行業(yè)務恢復處理，覆蓋原有信息BRPO-OC．RPO-O，相當于部分數(shù)據(jù)丟失，需要進行業(yè)務恢復處理，修復數(shù)據(jù)丟失D．RPO-O，相當于沒有任何數(shù)據(jù)丟失，且不需要進行業(yè)務恢復處理答案：DSAM（）的目的是建立評估框架，并為現(xiàn)場階段（）的目的是準備評估團隊進行現(xiàn)場活動，并通過問卷進行數(shù)據(jù)的初步收集和分析。對在此就三個階段中采集到的所有數(shù)據(jù)進行（。并將調(diào)查結(jié)果呈送個發(fā)起者B.準備階段；規(guī)劃階段；現(xiàn)場階段；最終分析答案：D組織應依照已確定的訪問控制策略限制對信息和（）功能的訪問。對訪問的限制要基于各個業(yè)務應用要（）時，宜使用加密、智能卡、令牌或生物手段等應用的控制措施的實用工具和程序的使用，應加以限制并（。對程序源代碼和相關事項（例如設計、）的訪問宜嚴格控制，以防引入非授權(quán)功能、避免無意識的變更和維持有價值的知識產(chǎn)權(quán)的（。對于程序源代碼的保存，可以通過這種代碼的中央存儲控制來實現(xiàn)，更好的是放在()中。答案：A1179.4.5118（（（（（截體下，可能體現(xiàn)出信息的（、臨時性和信息的交互場景，這使得風險管理變得復雜和不可預測。答案：Done-clickattcksessionriding,通?？s寫為CSRFXSXF，是一種挾制用的是（）跨站請求偽造，是一種種允許攻擊者通過受害者發(fā)送任意請求的一類攻擊方法WebWeb當成合法請求處理，使得攻擊者的惡意指令被正常執(zhí)行利用跨站偽造請求，攻擊者能讓受害者用戶修改該受害用戶允許修改的任何數(shù)據(jù)，或者是被執(zhí)行該受害用戶被授用的任何功能答案：D險評估，最重要的在于評估信息的采集，該項目組對信息源進行了討論，以下說法中不可行的是（）可以通過對當前的信息安全策略和相關文檔進行復查采集評估信息C．可以通過建立模型的方法采集評估信息答案：C解釋：書本原話。（）（某個大型集團公司總部的（。那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者（制度、組織架構(gòu)等信息，甚至包括集團公司相關人員的綽號等等。答案：C19931996CC（）B.《信息技術安全評估準則》答案：D的關系圖，哪項是錯誤的（。答案：D下圖描繪了信息安全管理體系的PDCA模型其中，建立ISMS中，組織應根據(jù)業(yè)務、組織、位置、資產(chǎn)和技術等方面的特性，確定ISMS的范圍和邊界，包括對范圍任何刪減的詳細說明和正當性理由。組織應根據(jù)業(yè)IM（IMSIMS分配給人員的安全活動或通過信息技術實施的安全活動是否按期望執(zhí)行，通過使用指示器幫助檢測安全事采取合適的糾正和（，從其他組織和組織自身的安全經(jīng)驗中（。A.方針；管理措施；控制措施；預防措施；吸取措施答案：A算機系統(tǒng)進行了如下措施，其中錯誤的是（）減少系統(tǒng)日志的系統(tǒng)開銷禁用或刪除不需要的服務，降低服務運行權(quán)限設置策略避免系統(tǒng)出現(xiàn)弱口令并對口令猜測進行防護答案：AITCS個總結(jié)？（）公司自身擁有優(yōu)秀的技術人員，系統(tǒng)也是自己開發(fā)的，無需進行應急演練工作，因此今年的僅制定了應急演練相關流程及文檔，為了不影響業(yè)務，應急演練工作不舉行公司制定的應急演練流程包括應急事件通報、確定應急事件優(yōu)先級、應急響應啟動實施、應急響應時間后期運維、更新現(xiàn)有應急預案五個階段，流程完善可用公司應急預案包括了基礎環(huán)境類、業(yè)務系統(tǒng)類、安全事件和其他類，基本覆蓋了各類應急事件類型GB/Z20986-20077個基本類別，預案符合國家相關標準答案：A（）措施。A．保護BC.響應D.恢復答案：B下列選項分別是四種常用的資產(chǎn)評估方法，哪個是目前采用最為廣泛的資產(chǎn)評估方法（A．基于知識的分析方法B.基于模型的分析方法C．定量分析 析答案：D如果需要選擇一個訪問控制模型，要求能夠支持最小特權(quán)原則和職責分離原則，而且在不同的系統(tǒng)配置下（1（23基于規(guī)則的訪問控制中，能夠滿足以上要求的選項有（）A（（）B（2（3）.只有（（）D答案：C系統(tǒng)流程圖用于可行性分析的（）的描述。A．當前運行系統(tǒng)B.當前邏輯模型C．目標系統(tǒng) D.新系統(tǒng)答案：B（中確定要求（）要求；電子政務工程建設項目必須同步布的（）中規(guī)定“建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技；《網(wǎng)絡安全法》；《網(wǎng)絡安全法》險評估工作的通知》全保障工作的意見》答案：APPDR中，策略指的是信息系統(tǒng)的安全策略，包括訪問控制策略、加密通信策略、身份認證測錄、備份恢復策略（）等；防護指的是通過部署和采用安全技術來提高網(wǎng)絡的防護（分析、審計網(wǎng)絡活動，了解判斷網(wǎng)絡系統(tǒng)的（（）調(diào)整到風險最低的狀態(tài)，包括恢復系統(tǒng)功能和數(shù)據(jù)，啟動備份系統(tǒng)等。啟動備份系統(tǒng)等。其主要方法包括：關閉服務、跟蹤、反擊、消除影響等。答案：A出可行的參考建議，在改網(wǎng)絡工程師的建議中錯誤的是（）B.發(fā)布信息應采取最小原則，所有不是必要的信息都不發(fā)布D．增加系統(tǒng)中對外服務的端口數(shù)量，提高會話效率答案：DwedWeb124（）D.錯誤的訪問控制答案：D中，其中不適合作為理由的一條是（）應急預案是明確關鍵業(yè)務系統(tǒng)信息安全應急響應指揮體系和工作機制的重要方式應急預案是提高應對網(wǎng)絡和信息體統(tǒng)突發(fā)事件能力，較少突發(fā)事件造成的損失和危害，保障信息系統(tǒng)運行平穩(wěn)、安全、有序、高效的手段D．應急預案是保障單位業(yè)務系統(tǒng)信息安全的重要措施答案：C言觀點中，正確的是（）以上的安全問題應當今早在軟件開發(fā)的需求和設計階段就增加一定的安全措施，這樣可以在軟件發(fā)布以后進行漏洞修復所花的代價少得多D．軟件的安全測試也很重要，充分的安全測試可以避免安全問題的產(chǎn)生答案：B（）過程。通過（）訪問的應用易受到許多網(wǎng)絡威脅，如欺詐活動、合（應用服務交換的信息以防不完整的傳輸、路由錯誤、未經(jīng)授權(quán)的改變、擅自披露、未經(jīng)授權(quán)的（。B.信息系統(tǒng)；測試和獲取；披露和修改；公共網(wǎng)路；復制或重播答案：COA《信（）有害程序事件特別重大事件（I級）信息破壞事件重大事件（II）（III）答案：DSAM（）和（（）包括（）和（）（）PA（）考僅供被評估方使用，并包括每個調(diào)查結(jié)果及其對被評估方需求影響的詳細信息。B.調(diào)查結(jié)果簡報；評估報告；調(diào)查結(jié)果簡報；評估資料；評估結(jié)果清單；評級概況；調(diào)查結(jié)果C．調(diào)查結(jié)果簡報；評估報告；評估資料；調(diào)查結(jié)果簡報；評級概況；調(diào)查結(jié)果答案：B（（600全7大機遇思想，闡明了中國關于網(wǎng)絡空間發(fā)展和安全的重大立場和主張，明確了戰(zhàn)略方針和主要任務，網(wǎng)絡空間機遇和挑戰(zhàn)并存，機遇大于挑戰(zhàn)。必須堅持積極利用、科學發(fā)展、依法管理、確保安全，堅決維13（（國際兩個大局，統(tǒng)籌發(fā)展安全兩件大事，積極防御、有效應對，推進網(wǎng)絡空間和平、安全、開放、合作、有序，維護國家主權(quán)、安全、發(fā)展利益，實現(xiàn)建設網(wǎng)絡強國的（。答案：A】者系統(tǒng)崩潰而無法提供正常的網(wǎng)絡服務（）D.IP答案：AVPN答案：C階段和（）步驟，同時還考慮了為完全這些階段和步驟所需要的各種（。這樣，就形成了由（（、和知識維所組成的三維空間結(jié)構(gòu)。五個；七個；專業(yè)知識和技能；時間維；邏輯維七個；七個；專業(yè)知識和技能；時間維；邏輯維七個；六個；專業(yè)知識和技能；時間維；邏輯維答案：B社會工程學是（）與（）結(jié)合的學科，準確來說，它不是一門科學，因為它不能總是重復合成功，并且在（因為系統(tǒng)的漏洞可以彌補，體系的缺陷可能隨著技術的發(fā)展完善或替代，社會工程學利用的是人性的“弱（）,這使得它幾乎是永遠有效的（。C．網(wǎng)絡安全；心理學；永恒存在的；攻擊方式答案：A（SSAM,SSE-CMMAppraisalMethod）SSE-CMM（SAM（（（（。B.信息和方向；系統(tǒng)工程；規(guī)劃；準備；現(xiàn)場；報告C．系統(tǒng)安全工程；信息；規(guī)劃；準備；現(xiàn)場；報告答案：D（來保護設備。對于使用移動計算設施的人員要安排培訓，以提高他們對這種工作方式導致的附加風險的意識，并且要實施控制措施。答案：C（）和實施方法（如信息安全的控制目標、控制措施、方（（（護。A.信息安全管理；獨立審查；報告工具；技能和經(jīng)驗；定期評審B.信息安全管理；技能和經(jīng)驗；獨立審查；定期評審；報告工具答案：D的。為了保護環(huán)境安全，在下列選項中，公司在選址時最不應該選址的場地是().自然災害較少的城市C．大型醫(yī)院旁的建筑答案：D1998（）管理體系要求與（）要求，它是一個BS79-1B79-219991999展，同時還非常強調(diào)了商務涉及的信息安全及（）的責任。答案：D200年度損失預期值為().元 元C.20,000元D.25,000元答案：CN（Poe（DD（。DFD（）之間的平衡。DFD一種信息流，這種信息流可分為交換流和事物流兩類。數(shù)據(jù)流；0^N；有0條或多條名字互不相同的數(shù)據(jù)流；父圖與其子圖0字節(jié)流；0^N；有0條或多條名字互不相同的數(shù)據(jù)流；父圖與其子圖答案：ACISP（（（奧迪尼（RobertBCialdini）在科學美國人（20012）雜志中總結(jié)對（）6（）工程師在攻擊中所依賴的（有意思或者無意識的。B．攻擊者；心理操縱；心理操縱；社會工程學答案：C風險評估的工具中（能性，這類工具通常包括黑客工具、腳本文件。A．脆弱性掃描工具 B.滲透測試工具C.拓撲發(fā)現(xiàn)工具 計工具答案：BIILV.5（（（（（）.A答案：A）ISACA（IT）IT織。CBTCBT（（（（、等部分。流程描述、框架、控制目標、管理指南、成熟度模型框架、流程描述、管理目標、控制目標、成熟度模型框架、流程描述、控制目標、管理指南、成熟度模型答案：C關于軟件安全問題，下面描述錯誤的是（）軟件的安全問題可以造成軟件運行不穩(wěn)定，得不到正確結(jié)果甚至崩潰C.軟件的安全問題可能被攻擊者利用后影響人身健康安全答案：DA．堅持積極攻擊、綜合防范的方針全面提高信息安全防護能力重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全答案：B、C屬于網(wǎng)絡安全評估內(nèi)容的是（）A.數(shù)據(jù)加密BCD.安全審計答案：A15000標標準要闡述，對我國（）發(fā)展的重點、行動計劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國信息化發(fā)展的（，當前我國信息安全保障工作逐步加強。制定并實施了（）,初步建立了信息安全管理體制和（基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全防護水平明顯提高，互聯(lián)網(wǎng)信息安全管理進一步加強。A5答案：D《信息技術-安全技術-信息安全管理體系-要求》為在組織內(nèi)為建立、實施、保持和不斷改進（）制定了要求。ISO27001（）BS77991993（）1995BS7799-1：1995組成的（，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一（小組織。答案：CRFC1492TACACSTACACSCiscoCisoTCPTACACS+協(xié)議分為（）兩個不同的過程A．認證和授權(quán)B.加密和認證C.數(shù)字簽名和認證D.訪問控制和加密答案：A與協(xié)調(diào)，下面應急響應工作流程圖中，空白方框中從右到左依次填入的是（。應急響應專家小組、應急響應技術保障小組、應急響應實施小組、應急響應日常運行小組應急響應專家小組、應急響應實施小組、應急響應技術保障小組、應急響應日常運行小組應急響應技術保障小組、應急響應專家小組、應急響應實施小組、應急響應日常運行小組答案：A隨著計算機在商業(yè)和民用領域的應用，安全需求變得越來越多樣化，自主訪問控制和強制訪問控制難以適（RARACRA0RA、RA2RA3（、RBAC2RBAC3RBAC0B．RBAC1RBAC0C．RBAC2RBAC1D．RBAC3RBAC1RBAC2，同時具備角色等級和約束答案：C安全漏洞掃描技術是一類重要的網(wǎng)絡安全技術。當前，網(wǎng)絡安全漏洞掃描技術的兩大核心技術是（A．PINGBC．操作系統(tǒng)探測和漏洞掃描技術答案：B（）IT信息系統(tǒng)審計是一個獲取并評價證據(jù)的過程，審計對象是信息系統(tǒng)相關控制，審計目標則是判斷信息系統(tǒng)是否能夠保證其安全性、可靠性、經(jīng)濟性以及數(shù)據(jù)的真實性、完整性等相關屬性信息系統(tǒng)審計師單一的概念，是對會計信息系統(tǒng)的安全性、有效性進行檢查計等答案：COSI（）BCD.傳輸層答案：C（Authentication）過程？（）A．用戶依照系統(tǒng)提示輸入用戶名和口令OfficeOffice在系統(tǒng)日志中答案：A終端訪問控制器訪問控制系統(tǒng)（TERMINALAccessControllerAccess-ControlSystem,TACACS）,在認證STARTSTART認證繼續(xù)還是結(jié)束。A．0B.1C.2D.4答案：B315AAA是否迅速以及修復缺陷是否及時。為了提高軟件測試的效率，應（。隨機地選取測試數(shù)據(jù)取一切可能的輸入數(shù)據(jù)為測試數(shù)據(jù)答案：D,大綱之外。A．人民解放軍戰(zhàn)略支援部隊中國移動吉林公司重慶市公安局消防總隊答案：DIMS（（一定的（，即組織應建立并保持一個文件化的信息安全（系應形成一定的（，即組織應建立并保持一個文件化的信息安全（險管理的方法、控制目標及控制方式和需要的（）.A.信息安全方針；標準；文件；管理體系；保證程度B.標準；文件；信息安全方針；管理體系；保證程度答案：C為同事小李從對應用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項例子中有一項不對，請問是下面哪一項（）A.數(shù)據(jù)訪問權(quán)限BCD.遠程滲透答案：CPRPDR（（全間隙“為循環(huán)來提高（。答案：D審計人員對這份報告的說法正確的是（）B.內(nèi)部審計人員質(zhì)疑是錯的，漏洞掃描軟件是正版采購，因此掃描結(jié)果是準確的D.內(nèi)部審計人員的質(zhì)疑是錯誤的，漏洞軟件是由專業(yè)的安全人員操作的，因此掃描結(jié)果是準確的答案：A（（）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風險降低到其可接受的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是（）,程，涉及信息系統(tǒng)整個（，因此信息系統(tǒng)安全保障的評估也應該提供一種（）的信心。安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動態(tài)持續(xù)客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動態(tài)持續(xù)客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動態(tài)持續(xù)答案：B述了星或（·-）完整性原則？（）答案：C（）服務，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問題（）團隊。另外，組織應確保落實供應商的基礎上管理。答案：A下列關于面向?qū)ο鬁y試問題的說法中，不正確的是（）在面向?qū)ο筌浖y試時，設計每個類的測試用例時，不僅僅要考慮用各個成員方法的輸入?yún)?shù)，還需要