信息安全師考試學習資料1、單選

在對業務持續性計劃進行驗證時，以下哪項最為重要（）A.數據備份準時執行B.備份站點已簽訂合約，并且在需要時可以使用C.人員安全計劃部署適當D.保險答案（江南博哥）：C2、單選

由于病毒攻擊、非法入侵等原因，校園網整體癱瘓，或者校園網絡中心全部DNS、主WEB服務器不能正常工作；由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網出口中斷，屬于以下哪種級別事件（）A.特別重大事件B.重大事件C.較大事件D.一般事件正確答案：A3、單選

評估IT風險被很好的達到，可以通過：（）A.評估IT資產和IT項目總共的威脅B.用公司的以前的真的損失經驗來決定現在的弱點和威脅C.審查可比較的組織出版的損失數據D.一句審計拔高審查IT控制弱點正確答案：A4、單選

下列哪一項關于Bell-LaPadula模型特點的描述是錯誤的？（）A.強調對信息保密性的保護，受到對信息保密要求較高的軍政機關和企業的喜愛。B.既定義了主體對客體的訪問，也說明了主體對主體的訪問。因此，它適用于網絡系統。C.它是一種強制訪問控制模型，與自主訪問控制模型相比具有強耦合，集中式授權的特點。D.比起那些較新的模型而言，Bell-LaPadula定義的公理很簡單，更易于理解，與所使用的實際系統具有直觀的聯系。正確答案：B5、單選

（）除了哪種特性之外，其他安全特性在Windows2000種都可以通過系統本身的工具來進行設置和控制？A、物理安全性B、用戶安全性C、文件安全性D、入侵安全性正確答案：A6、單選

安全模型是用于精確和形式地描述信息系統的安全特征，解釋系統安全相關行為。關于它的作用描述不正確的是？（）A.準確的描述安全的重要方面與系統行為的關系。B.開發出一套安全性評估準則，和關鍵的描述變量。C.提高對成功實現關鍵安全需求的理解層次。D.強調了風險評估的重要性正確答案：D7、單選

處理報廢電腦的流程時，以下哪一個選項對于安全專業人員來說是最重要考慮的內容？（）A.在扇區這個級別上，硬盤已經被多次重復寫入，但是在離開組織前沒有進行重新格式化。B.硬盤上所有的文件和文件夾都分別刪除了，并在離開組織進行重新格式化。C.在離開組織前，通過在硬盤特定位置上洞穿盤片，進行打洞，使得硬盤變得不可讀取。D.由內部的安全人員將硬盤送到附近的金屬回收公司，對硬盤進行登記并粉碎。正確答案：B8、單選

有關Kerberos說法下列哪項是正確的？（）A.它利用公鑰加密技術。B.它依靠對稱密碼技術。C.它是第二方的認證系統。D.票據授予之后將加密數據，但以明文方式交換密碼正確答案：B9、填空題

蹭網指攻擊者使用自己計算機中的無線網卡連接他人的無線路由器上網，而不是通過（）提供的線路上網。正確答案：正規的ISP10、單選

系統管理員屬于？（）A.決策層B.管理層C.執行層D.既可以劃為管理層，又可以劃為執行層正確答案：C11、判斷題

著作權人僅僅指作者。正確答案：錯12、單選

來自終端的電磁泄露風險，因為它們：（）A.導致噪音污染B.破壞處理程序C.產生危險水平的電流D.可以被捕獲并還原正確答案：D13、單選

下面哪一項不是安全編程的原則（）A.盡可能使用高級語言進行編程B.盡可能讓程序只實現需要的功能C.不要信任用戶輸入的數據D.盡可能考慮到意外的情況，并設計妥善的處理方法正確答案：A14、單選

RSA公開密鑰密碼體制的安全性主要基于以下哪個困難問題？（）A.求合數模平方根的難題B.離散對數困難問題C.背包問題D.大數分解困難問題正確答案：D15、單選

當發生災難時，以下哪一項能保證業務交易的有效性（）A.從當前區域外的地方持續每小時1次地傳送交易磁帶B.從當前區域外的地方持續每天1次地傳送交易磁帶C.抓取交易以整合存儲設備D.從當前區域外的地方實時傳送交易磁帶正確答案：D16、單選

在客戶/服務器系統中，安全方面的改進應首先集中在：（）A.應用軟件級B.數據庫服務器級C.數據庫級D.應用服務器級正確答案：C17、單選

以下誰具有批準應急響應計劃的權利（）A.應急委員會B.各部門C.管理層D.外部專家正確答案：C18、單選

下面哪一個不是系統規劃階段風險管理的工作內容（）A.明確安全總體方針B.明確系統安全架構C.風險評價準則達成一致D.安全需求分析正確答案：B19、單選

下面哪一項是恢復非關鍵系統的最合理方案？（）A.溫站B.移動站C.熱站D.冷站正確答案：D20、單選

下列關于互惠原則說法不正確的是（）。A、互惠原則是網絡道德的主要原則之一B、網絡信息交流和網絡服務具有雙向性C、網絡主體只承擔義務D、互惠原則本質上體現的是賦予網絡主體平等與公正正確答案：C21、判斷題

專家評估是論文評價的主要方法之一。正確答案：對22、單選

密碼出口政策最嚴格的是以下哪個國家？（）A.法國B.美國C.愛爾蘭D.新加坡正確答案：B23、單選

下面哪一個不是系統廢棄階段風險管理的工作內容（）A.安全測試B.對廢棄對象的風險評估C.防止敏感信息泄漏D.人員培訓正確答案：A24、單選

誰對組織的信息安全負最終責任？（）A.安全經理B.高管層C.IT經理D.業務經理正確答案：B25、單選

以下哪一個協議是用于電子郵件系統的？（）A.X.25B.X.75C.X.400D.X.500正確答案：C26、填空題

思維定式（）觀察偏差的主觀因素。正確答案：屬于27、多選

IPSec通過（）實現密鑰交換、管理及安全協商。A.AHB.ESPC.ISAKMP/OakleyD.SKIP正確答案：C,D28、單選

以下選項中那一項是對信息安全風險采取的糾正機制？（）A.訪問控制B.入侵檢測C.災難恢復D.防病毒系統正確答案：C29、單選

《關于信息安全等級保護的實施意見》中信息和信息系統安全保護等級的第三級的定義是（）A.自主保護級B.指導保護級C.強制保護級D.監督保護級正確答案：D30、單選

ISMS文檔體系中第一層文件是？（）A.信息安全方針政策B.信息安全工作程序C.信息安全作業指導書D.信息安全工作記錄正確答案：A31、單選

信息分類是信息安全管理工作的重要環節，下面哪一項不是對信息進行分類時需要重點考慮的？（）A.信息的價值B.信息的時效性C.信息的存儲D.法律法規的規定正確答案：C32、單選

信息安全管理工作小組可就哪些問題向外部安全專家或特定外部組織尋求信息安全方面的建議？（）A.相關安全信息的最佳實踐和最新狀態知識。B.盡早接受到關于攻擊和脆弱點的警告、建議和補丁C.分享和交換關于新的技術、產品、威脅或脆弱點信息D.以上都是正確答案：D33、單選

如果出現IT人員和最終用戶職責分工的問題，下面哪個選項是合適的補償性控制？（）A.限制物理訪問計算機設備B.檢查應用及事務處理日志C.在聘請IT人員之前進行背景檢查D.在不活動的特定時間后，鎖定用戶會話正確答案：B34、單選

為了防止物理上取走數據庫而采取的加強數據庫安全的方法是（）A、數據加密B、數據庫加密C、口令保護D、數據審計正確答案：B35、單選

Windows組策略適用于（）A.SB.DC.OD.S、D、OU正確答案：D36、多選

威脅網絡信息安全的軟件因素有（）A、外部不可抗力B、缺乏自主創新的信息核心技術C、網絡信息安全意識淡薄D、網絡信息管理存在問題正確答案：A,B,C,D37、判斷題

科學觀察可以分為直接觀察和間接觀察。正確答案：對38、判斷題

網絡道德的本質是社會道德，是社會道德在網絡領域中的新體現。正確答案：對39、單選

信息安全政策聲明：“每個人必須在進入每一個控制門時，都必須讀取自己的證件”，防范的是哪一種攻擊方式？（）A.尾隨PiggybackingB.肩窺ShouldersurfingC.DumpsterdivingD.冒充Impersonation正確答案：A40、單選

安全評估人員正為某個醫療機構的生產和測試環境進行評估。在訪談中，注意到生產數據被用于測試環境測試，這種情況下存在哪種最有可能的潛在風險？（）A.測試環境可能沒有充足的控制確保數據的精確性B.測試環境可能由于使用生產數據而產生不精確的結果C.測試環境的硬件可能與生產環境的不同D.測試環境可能沒有充分的訪問控制以確保數據機密性正確答案：D41、單選

面向對象的開發方法中，以下哪些機制對安全有幫助（）A.封裝B.多態C.繼承D.重載正確答案：A42、單選

防火墻通過（）控制來阻塞郵件附件中的病毒。A.數據控制B.連接控制C.ACL控制D.協議控制正確答案：A43、單選

風險評估實施過程中脆弱性識別主要包括什么方面（）A.軟件開發漏洞B.網站應用漏洞C.主機系統漏洞D.技術漏洞與管理漏洞正確答案：D44、單選

下面對于SSH的說法錯誤的是？（）A.SSH是SecureShell的簡稱B.客戶端使用ssh連接遠程登錄SSH服務器必須經過基于公鑰的身份驗證C.通常Linux操作系統會在/usr/local目錄下默認安裝OpenSSHD.SSH2比SSH1更安全正確答案：B45、單選

以下哪項活動對安全編碼沒有幫助（）A.代碼審計B.安全編碼規范C.編碼培訓D.代碼版本管理正確答案：D46、單選

負責制定、執行和維護內部安全控制制度的責任在于：（）A.IS審計員B.管理層C.外部審計師D.程序開發人員正確答案：B47、判斷題

兩種經濟形態并存的局面將成為未來世界競爭的主要格局。正確答案：對48、單選

下面哪項是信息安全管理體系中CHECK（檢查）中的工作內容？（）A.按照計劃的時間間隔進行風險評估的評審B.實施所選擇的控制措施C.采取合適的糾正和預防措施。從其它組織和組織自身的安全經驗中吸取教訓D.確保改進達到了預期目標正確答案：A49、單選

設施、網絡、平臺、介質、應用類信息資產的保密期限為（）A.3年B.長期C.4月D.短期正確答案：B50、填空題

企業與消費者之間的電子商務是企業透過（）銷售產品或服務個人消費者。正確答案：網絡51、單選

下列哪一項準確地描述了可信計算基（TCB）？（）A.TCB只作用于固件（FirmwarE.B.TCB描述了一個系統提供的安全級別C.TCB描述了一個系統內部的保護機制D.TCB通過安全標簽來表示數據的敏感性正確答案：B52、單選

下面哪一項不是風險評估的過程？（）A.風險因素識別B.風險程度分析C.風險控制選擇D.風險等級評價正確答案：C53、單選

根據組織業務連續性計劃（BCP）的復雜程度，可以建立多個計劃來滿足業務連續和和災難恢復的各方面。在這種情況下，有必要：（）A.每個計劃和其它計劃保持協調一致B.所有的計劃要整合到一個計劃中C.每個計劃和其他計劃相互依賴D.指定所有計劃實施的順序正確答案：A54、填空題

即使在企業環境中，（）作為企業縱深防御的一部分也是十分必要的。正確答案：個人防火墻55、單選

IPSEC的抗重放服務的實現原理是什么？（）A.使用序列號以及滑動窗口原理來實現。B.使用消息認證碼的校驗值來實現C.在數據包中包含一個將要被認證的共享秘密或密鑰來實現D.使用ESP隧道模式對IP包進行封裝即可實現。正確答案：A56、單選

（）關于Windows2000中的身份驗證過程，下面哪種說法是錯誤的？A、如果用戶登錄一個域，則Windows2000將把這些登錄信息轉交給域控制器處理。B、如果用戶登錄本機，則Windows2000將把這些登錄信息轉交給域控制器處理。C、如果用戶登錄一個域，則Windows2000利用域控制器含有的目錄副本，驗證用戶的登錄信息。D、如果用戶登錄本機，則Windows2000利用本機的安全子系統含有的本機安全數據庫，驗證用戶的登錄信息。正確答案：B57、問答題

安全審計按對象不同，可分為哪些類？各類審計的內容又是什么？正確答案：系統級審計，應用級審計，用戶級審計。系統級審計：要求至少能夠記錄登陸結果、登錄標識、登陸嘗試的日期和時間、退出的日期和時間、所使用的設備、登陸后運行的內容、修改配置文件的請求等。應用級審計：跟蹤監控和記錄諸如打開和關閉數據文件，讀取、編輯和刪除記錄或字段的特定操作以及打印報告之類的用戶活動。用戶級審計：跟蹤通常記錄用戶直接啟動的所有命令、所有的標識和鑒別嘗試的所有訪問的文件和資源。58、單選

下列關于訪問控制模型說法不準確的是？（）A.訪問控制模型主要有3種：自主訪問控制、強制訪問控制和基于角色的訪問控制。B.自主訪問控制模型允許主體顯式地指定其他主體對該主體所擁有的信息資源是否可以訪問。C.基于角色的訪問控制RBAC中“角色”通常是根據行政級別來定義的。D.強制訪問控制MAC是“強加”給訪問主體的，即系統強制主體服從訪問控制政策。正確答案：C59、填空題

防火墻是設置在內部網絡與外部網絡（如互聯網）之間，實施（）的一個或一組系統。正確答案：訪問控制策略60、單選

SMTP連接服務器使用端口（）A.21B.25C.80D.110正確答案：B61、單選

組織已經完成了年度風險評估，關于業務持續計劃組織應執行下面哪項工作？（）A.回顧并評價業務持續計劃是否恰當B.對業務持續計劃進行完整的演練C.對職員進行商業持續計劃的培訓D.將商業持續計劃通報關鍵聯絡人正確答案：A62、單選

從分析方式上入侵檢測技術可以分為：（）A、基于標志檢測技術、基于狀態檢測技術B、基于異常檢測技術、基于流量檢測技術C、基于誤用檢測技術、基于異常檢測技術D、基于標志檢測技術、基于誤用檢測技術正確答案：C63、單選

對于Linux的安全加固項說法錯誤的是哪項？（）A.使用uname-a確認其內核是否有漏洞B.檢查系統是否有重復的UID用戶C.查看login.defs文件對于密碼的限制D.查看hosts文件確保Tcpwapper生效正確答案：D64、單選

關于信息安全策略文件的評審以下說法不正確的是哪個？（）A.信息安全策略應由專人負責制定、評審。B.信息安全策略評審每年應進行兩次，上半年、下半年各進行一次。C.在信息安全策略文件的評審過程中應考慮組織業務的重大變化。D.在信息安全策略文件的評審過程中應考慮相關法律法規及技術環境的重大變化。正確答案：B65、單選

數據庫訪問控制策略中，（）是只讓用戶得到有相應權限的信息，這些信息恰到可以讓用戶完成自己的工作，其他的權利一律不給。A、最大程度共享策略B、顆粒大小策略C、存取類型控制策略D、只需策略正確答案：D66、單選

風險評估的過程中，首先要識別信息資產，資產識別時，以下哪個不是需要遵循的原則？（）A.只識別與業務及信息系統有關的信息資產，分類識別B.所有公司資產都要識別C.可以從業務流程出發，識別各個環節和階段所需要以及所產出的關鍵資產D.資產識別務必明確責任人、保管者和用戶正確答案：B67、填空題

根據SHARE78標準，在（）級情況下，備份中心處于活動狀態，網絡實時傳送數據、流水日志、系統處于工作狀態，數據丟失與恢復時間一般是小時級的。正確答案：應用系統溫備級68、單選

有關認證和認可的描述，以下不正確的是（）A.認證就是第三方依據程序對產品、過程、服務符合規定要求給予書面保證（合格證書）B.根據對象的不同，認證通常分為產品認證和體系認證C.認可是由某權威機構依據程序對某團體或個人具有從事特定任務的能力給予的正式承認D.企業通過ISO27001認證則說明企業符合ISO27001和ISO27002標準的要求正確答案：D69、單選

建立ISMS的步驟正確的是？（）A.明確ISMS范圍-確定ISMS策略-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）B.定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）-確定ISMS策略C.確定ISMS策略-明確ISMS范圍-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）D.明確ISMS范圍-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-確定ISMS策略-設計ISMS文件-進行管理者承諾（審批）正確答案：A70、單選

風險評估按照評估者的不同可以分為自評估和第三方評估，這兩種評估方式最本質的差別是什么？（）A.評估結果的客觀性B.評估工具的專業程度C.評估人員的技術能力D.評估報告的形式正確答案：A71、單選

在一份業務持續計劃，下列發現中哪一項是最重要的？（）A.不可用的交互PBX系統B.骨干網備份的缺失C.用戶PC機缺乏備份機制D.門禁系統的失效正確答案：B72、單選

組織允許外部通過互聯網訪問組織的局域網之前，首先要考慮實施以下哪項措施？（）A.保護調制解調器池。B.考慮適當的身份驗證方式。C.為用戶提供賬戶使用信息。D.實施工作站鎖定機制。正確答案：B73、單選

信息安全需求獲取的主要手段（）A.信息安全風險評估B.領導的指示C.信息安全技術D.信息安全產品正確答案：A74、單選

在部署風險管理程序的時候，哪項應該最先考慮到：（）A.組織威脅，弱點和風險概括的理解B.揭露風險的理解和妥協的潛在后果C.基于潛在結果的風險管理優先級的決心D.風險緩解戰略足夠在一個可以接受的水平上保持風險的結果正確答案：A75、單選

在準備災難恢復計劃時下列哪項應該首先實施？（）A.做出恢復策略B.執行業務影響分析C.明確軟件系統、硬件和網絡組件結構D.委任具有明確的雇員、角色和層級的恢復團隊正確答案：B76、單選

管理評審的最主要目的是（）A.確認信息安全工作是否得到執行B.檢查信息安全管理體系的有效性C.找到信息安全的漏洞D.考核信息安全部門的工作是否滿足要求正確答案：B77、單選

災難性恢復計劃（DRP）基于：（）A.技術方面的業務連續性計劃B.操作部分的業務連續性計劃C.功能方面的業務連續性計劃D.總體協調的業務連續性計劃正確答案：A78、單選

以下對信息安全管理的描述錯誤的是（）A.保密性、完整性、可用性B.抗抵賴性、可追溯性C.真實性私密性可靠性D.增值性正確答案：D79、單選

ITSEC中的F1-F5對應TCSEC中哪幾個級別？（）A.D到B2B.C2到B3C.C1到B3D.C2到A1正確答案：C80、單選

下列哪一項是對信息系統經常不能滿足用戶需求的最好解釋？（）A.沒有適當的質量管理工具B.經常變化的用戶需求C.用戶參與需求挖掘不夠D.項目管理能力不強正確答案：C81、單選

信息安全風險管理的最終責任人是？（）A.決策層B.管理層C.執行層D.支持層正確答案：A82、單選

下面選項中不屬于數據庫安全模型的是：（）A.自主型安全模型B.強制型安全模型C.基于角色的模型D.訪問控制矩陣正確答案：C83、單選

我國信息安全事件分級不考慮下列哪一個要素？（）A.信息系統的重要程度B.系統損失C.社會影響D.業務損失正確答案：D84、單選

以下哪些不屬于敏感性標識（）A.不干貼方式B.印章方式C.電子標簽D.個人簽名正確答案：D85、多選

網絡安全審計系統一般包括（）。A.網絡探測引擎B.數據管理中心C.審計中心D.聲光報警系統正確答案：A,B,C86、單選

對磁介質的最有效好銷毀方法是？（）A.格式化B.物理破壞C.消磁D.刪除正確答案：B87、填空題

我國的信息化發展不平衡，總的來說，（）信息化指數高，從東部到西部信息化指數逐漸降低。正確答案：東部沿海地區88、單選

下列哪一種模型運用在JAVA安全模型中：（）A.白盒模型B.黑盒模型C.沙箱模型D.灰盒模型正確答案：C89、單選

以下哪些不是網絡類資產：（）A.網絡設備B.基礎服務平臺C.網絡安全設備D.主干線路正確答案：B90、單選

以下哪一種身份驗證機制為移動用戶帶來驗證問題？（）A.可重復使用的密碼機制B.一次性口令機制。C.挑戰響應機制。D.基于IP地址的機制正確答案：D91、單選

下列哪一種情況會損害計算機安全策略的有效性？（）A.發布安全策略時B.重新檢查安全策略時C.測試安全策略時D.可以預測到違反安全策略的強制性措施時正確答案：D92、單選

ISO27001認證項目一般有哪幾個階段？（）A.管理評估，技術評估，操作流程評估B.確定范圍和安全方針，風險評估，風險控制（文件編寫），體系運行，認證C.產品方案需求分析，解決方案提供，實施解決方案D.基礎培訓，RA培訓，文件編寫培訓，內部審核培訓正確答案：B93、單選

以下對于IATF信息安全保障技術框架的說法錯誤的是：（）A、它由美國國家安全局公開發布B