信息安全专业人员知识测试试题(六).docx
《信息安全专业人员知识测试试题(六).docx》由会员分享,可在线阅读,更多相关《信息安全专业人员知识测试试题(六).docx(42页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信息安全专业人员知识测试试题(六)1.关于微软的SDL原则,弃用不安全的函数属于哪个价格段? ( C )A.规划B.设计C.实现D.测试2 .优秀源代码审核工具有哪些特点(A )1安全性2多平台性3可扩民性4知识性5集成性A. 12345B. 2 3 4C. 1234D. 2 3解答:一.可理解性、二.可靠性、三.可测试性、四.可修改性、五.可移植性、 六.效率、七.可使用性。3 .信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风 险管理包括()六个方面的内容。()是信息安全风险管理的四个基本步骤, ()则贯穿于这四个基本步骤中。A.背景建立、风险评估、风险外理、批准监督、监控审
2、查和沟通咨询;背景 建立、风险评估、风险处理和批准监督;监控审查和沟通咨询B.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景 建立、风险评估、风险处理和监控审查;批准监督和沟通咨询C.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景 建立、风险评估、风险处理和沟通咨询;监控审查和批准监督D.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景 建立、风险评估、监控审查和批准监督;风险处理和沟通咨询解答:背景建立、风险评估、风险外理、批准监.督、监控审杳和沟通咨询。4.某公司在讨论如何确认已有的安全措施,对于确认已有这全措施,下列选 项中近期内述不正
3、确的是(D) A.对有效的安全措施继续保持,以避免不必要 的工作和费用,防止安全措施的重复实施的方法;实体认证、网络与用户认证,以及广播认证C. RFID安全技术;传感 器网络安全技术;物理机制、密码机制,以及二者相结合的方法;内部实体认 证、网络与用户认证,以及广播认证D. RFID技术;传感器技术;物理机制、密码机制,以及二者相结合的方 法;实体认证、网络与用户认证,以及广播认证解答:该内容来源于互联网。30 .建立并完善()是有效应对社会工程攻击的方法,通过()的建立,使 得信息系统用户需要遵循()来实施某些操作,从而在一定程度上降低社会工程 学的影响。例如对于用户密码的修改,由于相应管
4、理制度的要求,()需要对用 户身份进行电话回拨确认才能执行,那么来自外部的攻击就可能很难伪装成为内 部工作人员进行(),因为他还需要想办法拥有一个组织机构内部电话才能实施。A.信息安全管理体系;安全管理制度;规范;网络管理员;社会工程学攻 击B.信息安全管理体系;安全管理制度;网络管理员;规范;社会工程学攻 击C.安全管理制度;信息安全管理体系;规范;网络管理员;社会工程学攻 击D.信息安全管理体系;网络管理员;安全管理制度;规范;社会工程学攻 击解答:该题目请以理解为主。31 .怎样安全上网不中毒,现在是网络时代了,上网是每个人都会做的事, 但网络病毒一直是比较头疼的,电脑中毒也比较麻烦。某
5、员工为了防止在上网时 中毒使用了影子系统,他认为恶代码会通过以下方式传播,但有一项是安全的, 请问是O A.网页挂马B.利用即时通讯的关系链或伪装P2P下载资源等方式传播到目标系统中 C. Google认证过的插件D .垃圾邮件解答:解释:来源于国外的翻译的题目。32 .管理,是指()组织并利用其各个要素(人、财、物、信息和时空),借 助(),完成该组织目标的过程。其中,()就像其他重要业务资产各()一样, 也对组织业务至关重要的一种资产,因此需要加以适当地保护。在业务环境互 连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日 益增多的、范围越来越广的威胁各()当中。A.管
6、理手段;管理主体;信息;管理要素;脆弱性B.管理主体;管理手 段;信息;管理要素;脆弱性C.管理主体;信息;管理手段;管理要素;脆弱 性D.管理主体;管理要素;管理手段;信息;脆弱性33 .如下图所示,两份文件包含了不同的内容,却拥有相同的SHA-1数字签 名a,这违背了安全的哈希函数()性质。A.单向性B.弱抗碰撞性C.强抗碰撞性D.机密性解释:该题目是违背了强抗碰撞性,答案应为C。34 .信息安全管理体系也采用了 ()模型可应用于所有的()。ISMS把相关 方的信息安全要求和期望作为输入,并通过必要的(),产生满足这些要求和期 望的()oA.ISMS: PDCA过程;行动和过程;信息安全结
7、果B. PDCA; ISMS过程; 行动和过程;信息安全结果C. ISMS: PDCA过程;信息安全结果;行动和过程 D. PDCA; ISMS过程;信息安全结果;行动和过程35 .以下对Kerberos协议过程说法正确的是:()A.协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务B.协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务C.协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三 是获得服务许可票据D.协议可以分为三个步骤:一是获得票据许可票据二是 获得服务许可票据;三是获得服务36 .下列选项中,对物理与环境安全的近期内述出现错误的是()A.物理安全确
8、保了系统在对信息进行采集、传输、处理等过程中的安全B.物理安全面对是环境风险及不可预知的人类活动,是一个非常关键的领域 C.物理安全包括环境安全、系统安全、设施安全等D.影响物理安全的因素不仅包含自然因素,还包含人为因素答案:37 .风险处理是依据(),选择和实施合适的安全措施。风险处理的目的是为 了将()始终控制在可接爱的范围内。风险处理的方式主要有()、()、()和() 四种方式。A.风险;风险评估的结果;降低;规避;转移;接受B.风险评估的结果; 风险;降低;规避;转移;接受C.风险评估;风险;降低;规避;转移;接受D.风险;风险评估;降低;规避;转移;接受38 .信息收集是()攻击实施
9、的基础,因此攻击者在实施前会对目标进行(), 了解目标所有相关的()。这些资料和信息对很多组织机构来说都是公开或看无 用的,然而对攻击者来说,这些信息都是非常有价值的,这些信息收集得越多, 离他们成功得实现O就越近。如果为信息没有价值或价值的非常低,组织机构 通常不会采取措施(),这正是社会工程学攻击者所希望的。A.信息收集;社会工程学;资料和信息;身份伪装;进行保护B.社会工 程学;信息收集;资料和信息;身份伪装;进行保护C.社会工程学;信息收 集;身份伪装;资料和信息;进行保护D.信息收集;资料和信息;社会工程 学;身份伪装;进行保护39 .信息是流动的,在信息的流动过程中必须能够识别所有
10、可能途径的() 与();而对于信息本身而言,信息的敏感性的定义是对信息保护的O和(), 信息在不同的环境存储和表现的形式也决定了 ()的效果,不同的载体下,可能 体现出信息的()、临时性和信息的交互场景,这使得风险管理变得复杂和不可预测-A. 基础;依据;载体;环境:永久性:风险管理B.基础;依据;载体;环境;风险管理;永久性C.载体;环境;风险管理; 永久性;基础;依据;D.载体;环境;基础;依据:风险管理;永久性40 .软件安全设计和开发中应考虑用户隐私保护,以下关于用户隐私保护的 说法错误的是? A.告诉用户需要收集什么数据及搜集到的数据会如何被使用B.当用户的数据由于某种原因要被使用时
11、,给客户选择是否允许C.用户提交 的用户名和密码属于隐私数据,其他都不是D.确保数据的使用符合国家、地方、行业的相关法律法规41 .随着时代的发展,有根多伟人都为通信事业的发展贡献出自己力量,根 据常识可知以下哪项是正确的?()A.19世纪中叶以后,随着电磁技术的发展,诞生了笔记本电脑,通信领域 产生了根本性的飞跃,开始了人类通信新时代B.1837年,美国人费曼发明了电 报机,可将信息转换成电脉冲传向目的地,再转换为原来的信息,从而实现了长 途电报通信C.1875年,贝尔(Bell)发明了电话机1878年在相距300公里的波士顿和纽约之间进行了首次长途电话实验D.1906年美国物理学家摩斯发明
12、出无线电广播法国人克拉维尔建立了英 法第一条商用无线电线路,推动了无线电技术的进一步发展42 .随着人们信息安全意识的不断增强,版权保护也受到越来越多的关注。 在版权保护方面国内外使用较为广泛的是数字对象标识符DOI (Digital Object Identifier)系统,它是由非赢利性组织国际DOI基金会IDF (International DOI Foundation)研究设计的,在数字环境下标识知识产权对象的一种开放性系统。 DOI系统工作流程如图所示,则下面对于DOI系统认识正确的是()A.DOI是一个暂时性的标识号,由Intermational DOI Foundation管理B
13、.DOI的优点有唯一性、持久性、兼容性、或操作性、动态更新C.DOI命名规则中前缀和后缀两部之间用“;”分开D.DOI的体现形式只有网络域名和字符码两种形式43 .关于我国信息安全保障的基本原则,下列说法中不正确的是:A.要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行 做法,坚持管理与技术并重B.信息化发展和信息安全不是矛盾的关系,不能牺牲 一方以保证另一方C.在信息安全保障建设的各项工作中,既要统筹规划,又要突出重点D.在国家信息安全保障工作中,要充分发挥国家、企业和个人的积极性,不 能忽视任何一方的作用43.攻击者通过向网络或目标主机发送伪造的ARP应答报文,修改目标计
14、算机上ARP缓存,形成一个错误的IP地址MAC地址映射,这个错误的映 射在目标主机在需要发送数据时封装错误的MAC地址。欺骗攻击过程如下图所 示,其属于欺骗攻击中的哪一种欺骗攻击的过程()45.组织应依照已确定的访问控制策略限制对信息和()功能的访间。对访间的 限制要基于各个业务应用要求,访问控制策略还要与组织的访问策略一致。应建 立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验 证用户身份。在需要强认证和()时,宜使用如加密、智能卡、令牌或生物手段等替 代密码的身份验证方法。应建立交互式的口令管理系统,并确保使用优质的口令。 对于可能覆盖系统和应用的控制措施的实用工具和
15、程序的使用,应加以限制并0。 对程序源代码和相关事项(例如设计、说明书、验证计划和确认计划 的访问宜严 格控制,以防引入非授权功能、避免无意识的变更和维持有价值的知识产权的()。 对于程序源代码的保存,可以通过这种代码的中央存储控制来实现,更好的是放 在()中A.应用系统:身份验证:严格控制;保密性:源程序库B.身份验证;应用系统;严格 控制:保密性;源程序库C.应用系统;严格控制:身份验证;保密性;源程序库D.应用系 统;保密性;身份验证;严格控制;源程序库答案:46.OSI模型把网络通信工作分为七层,如图所示,OSI模型的每一层只与相邻 的上下两层直接通信,当发送进程需要发送信息时,它把数
16、据交给应用层。应用层 对数据进行加工处理后,传给表示层。再经过一次加工后,数据被到会话层,这一过 程一直继续到物理层接收数据后进行实际的传输,每一次的加工又称为数据封装。 其中IP层对应OSI模型中的那一层0A.应用层B.传输层C.应用层D.网络层47.以下关于软件安全问题对应关系错误的是?()A.缺点(Defect)软件实现和 设计上的弱点B.缺陷(Bug卜实现级上的软件问题C.瑕疵(Flaw)-种更深层次、设计层面的的问题D.故障(Failure)-由于软件存在缺点造成的一种外部表现,是静态的、程序执行 过程中出现的行为表现解释:非CISP来源,来源于CISSP的曾经的练习题,是翻译的48
17、 .自主访问控制(DAC)是应用很广泛的访问控制方法,常用于多种商业系统 中。以下对DAC模型的理解中,存在错误的是()A.在DAC模型中,资源的所有 者可以规定谁有权访问它们的资源B.DAC是一种对单个用户执行访问控制的过程和措施C.DAC可为用户提供灵活调整的安全策略,具有较好的易用性可扩展性,可以 抵御特洛伊木马的攻击D.在DAC中,具有某种访问能力的主体能够自主地将访问 权的某个子集授予其它主体49 .恶意代码经过20多年的发展,破坏性、种类和感染性都得到增强。随着 计算机的网络化程度逐步提高,网络播的恶意代码对人们日常生活影响越来越大。 小李发现在自己的电脑查出病毒的过程中,防病毒软
18、件通过对有毒件的检测,将软 件行为与恶意代码行为模型进行匹配,判断出该软件存在恶意代码,这种方式属于 0A简单运行B.行为检测C.特征数据匹配D.特征码扫描解释:CISP知识点范围内,在知识点理解的基础上,进一步参考“防病毒 软件通过对有毒软件的检测,将软件行为与恶意代码为模型进行匹配”参考教材 第388页第三段的内容。50 .信息安全风险值应该是以下哪些因素的函数?()A.信息资产的价值、面临 的威胁以及自身存在的脆弱性B.病毒、黑客、漏洞等C.保密信息如国家秘密、商业秘密等D.网络、系统、应用的复杂程度51 .管理层应该表现对(),程序和控制措施的支持,并以身作则。管理职责要 确保雇员和承
19、包方人员都了()角色和职责,并遵守相应的条款和条件。组织要建立 信息安全意识计划,并定期组织信息安全()。组织立正式的(),确保正确和公平的对 待被怀疑安全违规的雇员。纪律处理过程要规定(),考虑例如违规的性质、重要性 及对于业务的影响等因素,以及相关法律、业务合同和其他因素。A.信息安全:信息安全政策:教育和培训;纪律处理过程:分级的响应B信息安 全政策:信息安全:教育和培训:纪律处理过程:分级的响应C信息安全政策:教育和 培训I:信息安全;纪律处理过程:分级的响应D信息安全政策:纪律处理过程信息安 全;教育和培训:分级的响应解释:QSP知识点范围内,但内容需要理解或背诵,来源于教材第113
20、页, 第一段和第二段,请背诵下来,最好要理解。52 .近几年,无线通信技术迅猛发展,广泛应用于各个领域。而无线信道是一个 开放性信道,它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安 全因素,下列选项中,对无线通信技术的安全特点描述正确的是()A.无线信道是一个开放信道,任何具有适当无线设备的人均可以通过搭线窃 听而获得网络通信内容B.通过传输流分析,攻击者可以掌握精确的通信内容C.对于无线局域网络和无线个人区域网络来说,它们的通信内容更容易被窃 听D.群通信方式可以防止网络外部人员获取网络内部通信内容53.软件的可维护性可用七个质量特性来衡量,分别是:可理解性、可测试性、 可修改性
21、、可靠性、可移植性、可使用性和效率对于不同类型的维护,这些侧重 点也是不同的,在可维护性的特性中相互促进的是()A可理解性和可测试性B效率和可移植性C效率和可修改性D.效率和可理解性54下列选项中对信息系统审计概念的描述中不正确的是()A.信息系统审计, 也可称作IT审计或信息系统控制审计B.信息系统审计是一个获取并评价证据的过程,审计对象是信息系统相关控 制,审计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性以及数 据的真实性、完整性等相关属性C.信息系统审计是单一的概念,是对会计信息系统的安全性、有效性进行检查 D.从信息系统审计内容上看,可以将信息系统审计分为不同专项审计,例如
22、安 全审计、项目合规审计、绩效审计等。55 .随着互联网的迅猛发展、WEB信息的增加,用户要在信息海洋里查找自己 所需的信息,就象大海捞针一样,索引擎技术恰好解决了这一难题。以下关于搜索 引擎技术特点的描述中错误的是()A.搜索引擎以一定的策略在Web系统中搜索和发现信息B.搜索引擎可以分 为目录导航式与网页索引式C.搜索器在Internet上逐个访问Web站点,并建立一个网站的关键字列表 D.索引器功能是理解搜索器获取的信息,向用户显示查询结果解释:,来源于希赛网的软考练习题。56 .“规划(Plan)-实施(Do)-检查(Check)-处置(Act)(PDCA过程)又叫(),是管理 学中的
23、一个通用模型,最早由()于1930年构想,后来被美国质量管理专家()博士 在1950年再度挖掘出来,并加以广泛宣传和运用于持续改善产品质量的过程。 PDCA循环就是按照“规划、实施、检杳、处置”的顺序进行质量管理,并且循环 不止地进行下去的(),建立符合国际标准ISO 9001的质量管理体系即是一个典 型的PDCA过程,建立ISO 14001环境管理体系、ISO 200001服务()也是一个类似 的过程。A.质量环;休哈特;戴明;管理体系;科学程序B.质量环;戴明;休哈特;管理体系;科学程序C质量环:戴明;休哈特;科 学程序;管理体系D.质量环;休哈特;戴明;科学程序;管理体系解释:源于质量
24、管理体系。57.ZigBee主要的信息安全服务为()、()、()、()。访问控制使设备能够选 择其愿意与之通信的其他设备。为了实现访问控制,设备必须在ACL中维护一个 (),表明它愿意接受来自这些设备的数据。数据加密使用的密钥可能是一组设备共 享,或者两两共享。数据加密服务于Beacon、command以及数据载荷。数据() 主要是利用消息完整性校验码保证没有密钥的节点不会修改传输中的消息,进一 步确认消息来自一个知道()的节点A.访问控制、数据加密、数据完整性、序列抗重播保护;设备列表;完整性:密 钥B.访问控制、加密、完整性、序列抗重播保护;设备列表;完整性;密钥C.访问控制、加密、数据完
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 专业人员 知识 测试 试题
限制150内