一起答

2017年信息安全工程师测试题练习卷(1)

如果您发现本试卷没有包含本套题的全部小题,请尝试在页面顶部本站内搜索框搜索相关题目,一般都能找到。

  1. 信安标委中哪个小组负责信息安全管理工作?()

    • A.WG1
    • B.WG5
    • C.WG7
    • D.WG8
    点击查看答案

  2. 那一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问链接的能力?()

    • A.包过滤防火墙
    • B.状态检测防火墙
    • C.应用网关防火墙
    • D.以上都不能
    点击查看答案

  3. 下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令。()

    • A.NMAP
    • B.NLSOOKUP
    • C.ICESWord
    • D.X scan
    点击查看答案

  4. 下面关于ISO27002说法错误的是?()

    • A.ISO27002前身是ISO17799—1
    • B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部
    • C.ISO27002对于每个控制措施的表述分:“控制措施、实施指南和其他信息”三个部分来进行描述
    • D.ISO27002提出了十一大类安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施?
    点击查看答案

  5. 信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的?()

    • A.信息的价值
    • B.信息的时效性
    • C.信息的存储
    • D.法律法规的规定
    点击查看答案

  6. 进行信息安全管理体系的建设是一个涉及企业文化,信息系统特点、法律法规限制等多方面因素的复杂过程,人们在这样的过程中总结了许多经验,下面哪一项是最不值得被赞同的。()

    • A.成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持。
    • B.制定的信息安全管理措施应当与组织的文化环境相匹配
    • C.应该对ISO27002国际标准批判的参考,不能完全照搬
    • D.借助有经验的大型国际咨询公司,往往可以提高公司管理体系的执行效果
    点击查看答案

  7. 下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:()

    • A.设置网络连接时限
    • B.记录并分析系统错误日志
    • C.记录并分析用户和管理员日志
    • D.时钟同步
    点击查看答案

  8. 下面哪一项最准确的阐述了安全检测措施和安全审计之间的区别?()

    • A.审计措施不能自动执行,而检测措施可以自动执行
    • B.检测措施不能自动执行,而审计措施可以自动执行
    • C.审计措施是一次性的或周期性的进行,而检测措施是实时的进行
    • D.检测措施是一次性的或周期性的进行,而审计措施是实时的进行
    点击查看答案

  9. 以下选项中那一项是对信息安全风险采取的纠正机制?()

    • A.访问控制
    • B.入侵检测
    • C.灾难恢复
    • D.防病毒系统
    点击查看答案

  10. 从风险分析的观点来看,计算机系统的最主要安全脆弱性存在于——()

    • A.计算机内部处理
    • B.系统输入输出
    • C.网络和通讯
    • D.数据存储介质
    点击查看答案

  11. 以下关于风险管理的描述不正确的是?()

    • A.风险的四种控制方法有:减低风险/转嫁风险/规避风险/接受风险
    • B.信息安全风险管理是否成功在于发现是否切实被消除了
    • C.组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全
    • D.信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别多少或消除的过程。
    点击查看答案

  12. 风险评估按照评估者的不同可以分为自评估和三方评估,这两种评估方式最本质的差别是什么?()

    • A.评估结果的客观性
    • B.评估工具的专业程度
    • C.评估人员的技术能力
    • D.评估报告的形式
    点击查看答案

  13. 在风险评估中进行定量的后果分析时,如果采用年度风险损失值的方法进行计算,应当使用一下哪个公式?()

    • A.SLE(单次损失预期值)x ARO(年度发生率)
    • B.ARO(年度发生率)x EF(暴露因子)
    • C.SLE(单次损失预期值)x EF(暴露因子) x ARO(年度发生率)
    • D.SLE(单次损失预期值)x ARO(年度发生率)—EF(暴露因子)
    点击查看答案

  14. 管理者何时可以根据风险分析结果对已识别风险不采取措施()

    • A.当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时
    • B.当风险减轻方法提高业务生产力时
    • C.当引起风险发生的情况不在部门控制范围之内时
    • D.不可接受
    点击查看答案

  15. 风险管理的重点:()

    • A.将风险降低到可以接受的程度
    • B.不计代价的降低风险
    • C.将风险转移给三方
    • D.惩罚违反安全策略规定的雇员
    点击查看答案

  16. 对程序源代码进行访问控制管理时,以下那种做法是错误的?()

    • A.若有可能,在实际生产系统中不保留源程序库。
    • B.对源程序库的访问进行严格的审计
    • C.技术支持人员应可以不受限制的访问源程序
    • D.对源程序库的拷贝应受到严格的控制规程的制约
    点击查看答案

  17. 目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是?()

    • A.数据库系统庞大会提高管理成本
    • B.数据库系统庞大会降低管理效率
    • C.数据的集中会降低风险的可控性
    • D.数据的集中会造成风险的集中
    点击查看答案

  18. 对于信息系统访问控制说法错误的是?()

    • A.应该根据业务需求和安全要求制定清晰的访问控制策略,并根据需要进行评审和改进。
    • B.网络访问控制是访问控制的重中之重,网络访问控制做好了操作系统和应用层次的访问控制就会解决
    • C.做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控制中的有关责任
    • D.移动计算和远程工作技术的广泛应用给访问控制带来新的问题,因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施
    点击查看答案

  19. 变更控制是信息系统运行管理的重要的内容,在变更控制的过程中:()

    • A.应该尽量追求效率,而没有任何的程序和核查的阻碍。
    • B.应该将重点放在风险发生后的纠正措施上。
    • C.应该很好的定义和实施风险规避的措施。
    • D.如果是公司领导要求的,对变更过程不需要追踪和审查
    点击查看答案

  20. 在信息系统的开发和维护过程中,以下哪一种做法是不应该被赞成的()

    • A.在购买软件包后,依靠本单位的技术力量对软件包进行修改,加强代码的安全性。
    • B.当操作系统变更后,对业务应用系统进行测试和评审。
    • C.在需要是对操作文档和用户守则进行适当的修改。
    • D.在安装委外开发的软件前进行恶意代码检测。
    点击查看答案

  21. 对能力成熟度模型解释最准确的是?()

    • A.它认为组织的能力依赖与严格定义,管理完善,可测可控的有效业务过程。
    • B.它通过严格考察工程成果来判断工程能力。
    • C.它与统计过程控制的理论出发点不同,所以应用于不同领域。
    • D.它是随着信息安全的发展而诞生的重要概念。
    点击查看答案

  22. 一个单位在处理一台储存过高密级信息的计算机是首先应该做什么?()

    • A.将硬盘的每一个比特写成“O”
    • B.将硬盘彻底毁坏
    • C.选择秘密信息进行删除
    • D.进行低级格式化
    点击查看答案

  23. 以下对于蠕虫病毒的错误说法是()

    • A.通常蠕虫的传播无需用户的操作
    • B.蠕虫病毒的主要危害体现在对数据保密的破坏
    • C.蠕虫的工作原理与病毒相似,除了没有感染文件
    • D.是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统
    点击查看答案

  24. 以下哪一项不是跨站脚本攻击?()

    • A.给网站挂马
    • B.盗取COOKIE
    • C.伪造页面信息
    • D.暴力破解密码
    点击查看答案

  25. 以下哪一项是DOS攻击的一个实例()

    • A.SQL注入
    • B.IP Spoof
    • C.Smurf攻击
    • D.字典破解
    点击查看答案

  26. 下面哪一项是缓冲溢出的危害?()

    • A.可能导致shellcode的执行而非法获取权限,破坏系统的保密性
    • B.执行shellcode后可能进行非法控制,破坏系统的完整性
    • C.可能导致拒绝服务攻击,破坏系统的可用性
    • D.以上都是
    点击查看答案

  27. 下面哪一项不是安全编程的原则()

    • A.尽可能使用高级语言进行编程
    • B.尽可能让程序只实现需要的功能
    • C.不要信任用户输入的数据
    • D.尽可能考虑到意外的情况,并设计妥善的处理方法
    点击查看答案

  28. 黑客进行攻击的最后一个步骤是:()

    • A.侦查与信息收集
    • B.漏洞分析与目标选定
    • C.获取系统权限
    • D.打扫战场、清楚证据
    点击查看答案

  29. 以下哪一项是常见Web站点脆弱性扫描工具:()

    • A.Sniffer
    • B.Nmap
    • C.Appscan
    • D.LC
    点击查看答案

  30. 下面对于“电子邮件炸弹”的解释最准确的是:()

    • A.邮件正文中包含的恶意网站链接
    • B.邮件附件中具有强破坏性的病毒
    • C.社会工程的一种方式,具有恐吓内容的邮件
    • D.在短时间内发送大量邮件软件,可以造成目标邮箱爆满
    点击查看答案

  31. 关于网页中的恶意代码,下列说法错误的是:()

    • A.网页中的恶意代码只能通过IE浏览器发挥作用
    • B.网页中恶意代码可以修改系统注册表
    • C.网页中的恶意代码可以修改系统文件
    • D.网页中的恶意代码可以窃取用户的机密性文件
    点击查看答案

  32. 关于木马技术说法错误的是:()

    • A.“木马”这一名词来源于《荷马史诗》中记载的特洛伊战争
    • B.木马的一个主要特点是它的隐蔽性
    • C.木马技术与ROOTKIT技术的结合某种意义上代表了当代木马技术的发展
    • D.如果发现了一个木马进程,清除它的一步是清除木马启动
    点击查看答案

  33. 下面关于计算机恶意代码发展趋势的说法错误的是:()

    • A.木马和病毒盗窃日益猖獗
    • B.利用病毒犯罪的组织性和趋利性增加
    • C.综合利用多种编程新技术、对抗性不断增加
    • D.复合型病毒减少,而自我保护功能增加
    点击查看答案

  34. 关于数据库安全的说法错误的是?()

    • A.数据库系统的安全性很大程度上依赖于DBMS的安全机制
    • B.许多数据库系统在操作系统一下文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件
    • C.为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段
    • D.数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护
    点击查看答案
相关试卷

2017年软考中级多媒体应用设计师模

所属类型:模拟考试2021-03-23

2017年软考中级多媒体应用设计师模

所属类型:模拟考试2021-03-23

2017年软考中级多媒体应用设计师模

所属类型:模拟考试2021-03-23

2006年上半年《多媒体应用设计师》

所属类型:真题考试2021-03-23

2007年下半年《多媒体应用设计师》

所属类型:真题考试2021-03-23

2008年下半年《多媒体应用设计师》

所属类型:真题考试2021-03-23

2010年5月份软考《多媒体应用设计

所属类型:真题考试2021-03-23

2011年上半年多媒体应用设计师下午

所属类型:真题考试2021-03-23

2011年上半年多媒体应用设计师下午

所属类型:真题考试2021-03-23

2012年上半年软考《多媒体应用设计

所属类型:真题考试2021-03-23
关于我们  |  服务协议  |  免责声明  |  隐私政策  |  联系我们
Copyright © 2020 - 2024 yqda.net All Rights Reserved.
津ICP备2023006615号-1