注册信息安全专业人员试题及答案(1)
-
电子签名与手写签名采用不同的使用方式,它们之间既有相同也有不同之处,以下哪一种描述是错误的?
- A.两种签名具有相同的法律地位
- B.两种签名均易于伪造
- C.两种签名都在特定文件与签名人之间建立联系
- D.两种签名均可能在蒙受欺骗和受到强迫的情况下签署
-
以下哪一种加密算法或机制是绝对无法破解的?
- A.数据加密标准(DES)
- B.一次性乱码填充
- C.国际数据加密技术(IDEA)
- D.RC2和RC4
-
以下哪一种口令方式主要不依靠人的记忆?
- A.静态口令
- B.动态口令
- C.认知口令
- D.常规口令
-
在物理安全领域通常最关注:
- A.灭火系统
- B.人员尾随
- C.锁和钥匙
- D.自然灾害
-
在对远程办公的安全规划中,应首先回答以下哪一个问题?
- A.什么数据是机密的?
- B.员工需要访问哪些系统和数据?
- C.需要何种访问方式?
- D.系统和数据的敏感性如何?
-
作为一个组织第一次建立业务连续计划时,最为重要的一个环节是:
- A.制定业务连续策略
- B.进行业务影响分析
- C.进行灾难恢复演练
- D.建立一个先进的灾备系统
-
一个保险公司建立了异地灾难恢复系统,最近他们刚刚制定了BCP,进行了演练并且演练取得了成功。在某个周日的晚上这个保险公司数据中心发生火灾,遗憾的是他们的BCP在火灾中被烧毁了,但是在业务连续经理的协调下,恢复小组凭借记忆在规定的RTO范围内恢复了信息系统。这个例子中,组织最值得总结的经验是什么:
- A.训练员工的记忆力是非常重要的
- B.应在异地存放一份BCP
- C.有一个好的业务连续经理是最重要的
- D.以上都是
-
对任何计算机系统而言,最大的威胁来自:
- A.未经培训或粗心的用户
- B.供应商和承包商
- C.电脑黑客
- D.员工
-
组织将要建立一个DRP,在考虑成立项目小组时,至少要考虑包括以下哪些人员 1. IT相关人员 2. 业务部门相关人员 3. 高层管理者 4. 后勤保障人员 5. 人力资源、法律顾问 6. 外部咨询顾问
- A.1、2、3、4 、5
- B.1、3、4、5、6
- C.1、2、4、5、6
- D.1、2、3、4、6
-
下面那种生物测定技术具有最小的错误接受率?
- A.虹膜
- B.视网膜
- C.指纹
- D.脸型
-
作为观察员你参加了组织每年一次的BCP演练。在演练过程中你发现异地信息系统数据库的版本与记录的不同,这有非常可能导致演练失败,最为信息系统审计师的你这个时候最合适的行动是:
- A.记录这个事实
- B.向业务连续经理报告
- C.中断这次演练
- D.什么都不做
-
一个国家气象部门,每天都要处理大量的气象数据,相比而言以下那种备份方式适合于该组织采用:
- A.完全备份+差分备份
- B.完全备份+增量备份
- C.增量备份+差分备份
- D.以上都不是
-
关于业务连续性计划以下说法最恰当的是:
- A.组织为避免所有业务功能因重大事件而中断,减少业务风险而建立的一个控制过程。
- B.组织为避免关键业务功能因重大事件而中断,减少业务风险而建立的一个控制过程;
- C.组织为避免所有业务功能因各种事件而中断,减少业务风险而建立的一个控制过程;
- D.组织为避免信息系统功能因各种事件而中断,减少信息系统风险而建立的一个控制过程。
-
对于RTO和RPO以下错误的说法是:
- A.RTO是衡量灾难恢复时间的指标
- B.RTO是指从灾难发生到业务恢复运行所经历的时间
- C.RPO有效地量化了业务中断时可以允许丢失的数据量
- D.RPO是衡量数据恢复的指标
-
以下哪一种检测方法对发现冒充/伪装攻击比较有效?
- A.分析审计日志和流水日志
- B.观察
- C.口令试探
- D.用户报告曾遭受过冒充/伪装攻击
-
建立在信任基础上,并且难以预防的最大风险是:
- A.授权访问的正当使用
- B.授权访问的误用
- C.失败的非授权访问
- D.成功的非授权访问
-
对逻辑访问控制实施检查的主要目的是:
- A.确保组织安全政策与逻辑访问设计和架构保持一致。
- B.确保逻辑访问控制的技术实施与安全管理者的目标一致。
- C.确保逻辑访问控制的技术实施与数据所有者的目标一致。
- D.理解访问控制是如何实施的。
-
以下哪种情况是对电子公告牌(BBS)服务的重点关注内容?
- A.计算机用户交换信息
- B.计算机用户留言
- C.黑客对系统访问机密进行交易
- D.计算机用户获取公共程序
-
以下哪一组数据加密技术使用公钥算法?
- A.RSA 和 DES
- B.RSA 和 DSA
- C.DES 和 DSA
- D.DES 和 IDEA
-
解决计算机犯罪问题需要采用团队方式,团队中以下哪一个角色的职责是最清晰的?
- A.经理
- B.审计师
- C.调查员
- D.安全官员
-
在WEB服务器的以下哪一项活动中引入的简单错误会导致最大的安全脆弱性?
- A.WEB服务器的采购
- B.WEB服务器的使用
- C.WEB服务器的配置
- D.WEB服务器的维护
-
在计算机通讯领域中,以下关于消息填充的描述哪一项是正确的?
- A.与流量填充一样
- B.类似于数据校验和
- C.向消息中添加附加位
- D.与一次性乱码填充一样
-
对加密算法最常见的攻击方式是:
- A.唯密文破解
- B.暴力破解
- C.已知明文破解
- D.选择明文破解
-
下面哪个角色对保护和控制敏感数据担负最终责任?
- A.数据使用者
- B.安全管理者
- C.数据所有人
- D.数据保管人
-
对于组织在异地建立的灾备中心,以下说法错误的是:
- A.灾备中心应建立并维护一份完整的数据存储介质目录
- B.灾备中心的安全等级应该与生产中心的安全等级保持一致
- C.灾备中心的规模和处理能力应该与生产中心的规模和处理能力保持一致
- D.灾备中心应具备在一段时间内提供持续运行的能力
-
任何一种安全措施都应当符合成本效益原则,不间断电源(UPS)系统是应对电力中断的有效措施,在安装UPS系统时,对以下哪一项因素的考虑最少?
- A.汽油/燃料供应能力
- B.可提供的电力负载大小
- C.可提供的供电时间
- D.主电力中断到UPS开始供电的切换速度
-
以下哪一项对安全风险的描述是准确的?
- A.安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。
- B.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。
- C.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性
- D.安全风险是指资产的脆弱性被威胁利用的情形。
-
对于RAID 3或RAID 5 以下说法正确的是:
- A.RAID 3至少要3块盘,其中任何一块磁盘损坏替换后都能恢复相应数据
- B.RAID 3至少要5块盘,其中任何两块磁盘损坏替换后都能恢复相应数据
- C.RAID 5 至少要3块盘,其中任何两块磁盘损坏替换后都能恢复相应数据
- D.RAID 5至少要5块盘,其中任何一块磁盘损坏替换后都能恢复相应数据
-
以下哪一类问题与逻辑访问控制的关系最接近?
- A.人员问题
- B.硬件问题
- C.操作系统软件问题
- D.应用系统软件问题
-
以下哪一项是最有效的口令创建方式?
- A.用户口令生成器
- B.用户口令“顾问”
- C.为用户分配口令
- D.用户选择口令
-
以下哪一项是选择加密算法最重要的因素?
- A.安全和使用许可
- B.速度和专利
- C.速度和安全
- D.专利和使用许可
-
组织业务连续计划中的联系列表应保持最新的状态,以便一旦发生灾难性事件能够及时找到相关人员。作为组织很难做到保持联系列表实时更新,但至少组织应每隔多长时间主动检查联系列表状态:
- A.一周
- B.一个月
- C.三个月
- D.半年
-
对企业内部网安全最重要的因素是:
- A.监控
- B.加密
- C.认证
- D.过滤
-
电子邮件网络是:
- A.协作式系统
- B.集中式系统
- C.分散式系统
- D.分布式系统
-
拒绝服务攻击危及以下哪一项信息系统属性?
- A.完整性
- B.可用性
- C.机密性
- D.可靠性
-
以下哪一项关于单向哈希函数和加密算法的描述是正确的?
- A.都把明文转换成不可读的密文
- B.都可以从结果反推出原文
- C.对原始信息都没有破坏
- D.都基于密钥做运算
-
一台需要与互联网通信的HTTP服务器放在以下哪个位置最安全?
- A.在DMZ区
- B.在内网中
- C.和防火墙在同一台计算机上
- D.在互联网防火墙外
-
以下除哪一项外都将持续受到来自计算机病毒的威胁?
- A.完整性
- B.可用性
- C.机密性
- D.有效性
-
在进行例行的信息系统审计时,信息系统审计师要评估测试和演练结果,其主要目的是:
- A.检查是否把相关纠正措施更新到了整个业务连续计划中
- B.是否测试和演练结果是否被组织中的相关管理人员复核
- C.是否发现了问题并制定了解决方案
- D.以上都是
-
安全事件响应系统的最终目标是:
- A.响应安全事件
- B.检测安全事件
- C.处理安全事件
- D.加强保护措施
-
以下哪一项安全特性和机制是由结构化查询语言(SQL)标准所规定的?
- A.识别和验证
- B.事务管理
- C.审计
- D.容错
-
WEB服务器最好使用以下哪一种方式进行验证?
- A.安全套接字层协议(SSL)
- B.传输控制协议(TCP)
- C.网际协议(IP)
- D.超文本传输协议(HTTP)
-
选择恢复策略与方案时要考虑的因素
- A.防范灾难的类型、灾备中心的距离
- B.数据完整性、处理性能
- C.投入的成本与灾难中断的损失
- D.以上所有
-
现代“干管”系统的特征是:
- A.不如自动喷淋灭火系统成熟
- B.增加了意外喷水的机会
- C.是二氧化氮灭火系统的替代系统
- D.是自动喷淋灭火系统的替代系统
-
在开放系统互联(OSI)参考模型中共有七层,提供安全服务以加强信息系统的安全性。以下哪一个OSI参考层同时提供机密性和数据完整性服务?
- A.数据链路层
- B.物理层
- C.应用层
- D.表示层
-
在开放系统互联(OSI)参考模型中共有七层,提供安全服务以加强信息系统的安全性。以下哪一个OSI参考层不提供机密性服务?
- A.表示层
- B.传输层
- C.网络层
- D.会话层
-
计算机通讯可采用几种不同的方式,以下哪一种方式最安全?
- A.公用电话网络
- B.光纤
- C.直接在计算机在用户工作站之间布双绞线
- D.微波或卫星传输
-
口令哈希是指:
- A.存储口令的哈希值
- B.存储口令明文并在需要时进行加密
- C.猜测口令
- D.破解口令
-
依赖防病毒软件的一个主要风险是防病毒软件可能:
- A.无法检测出某些病毒。
- B.使软件安装过程过于复杂。
- C.干预系统操作。
- D.消耗过多的系统资源。
-
控制对网络的访问是由以下哪一项高层系统服务机制提供的?
- A.访问控制列表和访问特权
- B.识别和验证
- C.认证和鉴定
- D.鉴定和保证