03CISO4657题号相同题目不同红字标记.docx
- 文档编号:12866654
- 上传时间:2023-04-22
- 格式:DOCX
- 页数:26
- 大小:26.48KB
03CISO4657题号相同题目不同红字标记.docx
《03CISO4657题号相同题目不同红字标记.docx》由会员分享,可在线阅读,更多相关《03CISO4657题号相同题目不同红字标记.docx(26页珍藏版)》请在冰豆网上搜索。
03CISO4657题号相同题目不同红字标记
CISO部分(46-57含CISP)
1.下列哪项关于信息安全管理体制的说法错误的是:
A.目前我国的信息安全保障工作室相关部门各司其职、相互配合、齐抓共管的局面
B.我国的信息安全保障工作综合利用法律、管理和技术的手段
C.我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针
D.我国对于信息安全责任的原则是谁主管、谁负责:
谁经营、谁负责
2.下列哪项不是《信息安全等级保护管理办法》(公通字{2007}43号)规定的内容:
A.国家信息安全等级保护坚持自主定级、自主保护的原则
B.国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查
C.跨省或全国统一联网运行的信息系统可由主管部门统计确定安全保护等级
D.涉及国际秘密的信息系统部进行分级保护
3.以下确定信息系统的安全保护等级理解正确的是:
A.信息系统的安全保护等级是信息系统的客观属性
B.确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施
C.确定信息系统的安全保护等级时应考虑风险评估的结果
D.确定信息系统的安全保护等级时应仅考虑业务信息的安全性
4.以下哪一项不是我国与信息安全有关的国家法律?
A.《信息安全等级保护管理办法》
B.《中国人民共和国保守国家秘密法》
C.《中华人民共和国刑法》
D.《中国人民共和国国家安全法》
5.根据我国信息安全管理体系,党政机关信息网络的安全保卫任务由下列哪个单位负责?
A.公安机关
B.国家安全机关
C.国家保密工作部门
D.国家密码主管部门
6.下列哪个不是《商用密码管理条例》规定的内容?
A.国家密码管理委员会及其办公室《简称密码管理机构》主管全国的商用密码管理工作
B.商用密码技术属于国家密码,国家对商用密码产品的科研、生产、销售和使用实行专控管理
C.商用密码产品由国家密码管理机构许可的单位销售
D.个人可以使用经国家密码管理机构认可之外的商用密码产品
7.我国信息安全标准化技术委员会(TC260)目前下属6个工作组,其中负责信息安全管理的小组是:
A.WG1
B.WG7
C.WG3
D.WG5
8.美国国防部署公布的《可计算机系统评估标准》(TCSEC)把计算机系统的安全分为个大的等级。
A.3
B.4
C.5
D.6
9.各国在信息安全保障组织架构有两种主要形式,一种是由一个部门集中管理国家信息安全相关工作,另一种是多个部门管理,同时加强协调工作,下列各国中,哪一个国家是采取多部门协调的做法:
A.德国
B.法国
C.美国
D.以上国家都不是
10.是目前国际通行的信息技术产品安全性评估标准?
A.TCSEC
B.ITSEC
C.CC
D.IATF
11.根据GB/T24364-2009《信息安全技术信息安全应急响应计划规范》,应急响应方法论的响应过程的第二步是
A.准备
B.确认
C.遏制
D.根除
12.关于信息安全保障,下列说法正确的是:
A.信息安全保障是一个客观到主观的过程,即通过采取技术、管理、工程等手段,对信息资源的保密性、完整性、可用性提供保护,从而信息系统所有者以信心。
B.信息安全保障的需求是由信息安全策略所决定的,是自上而下的一个过程,在这个过程中,决策者的能力和决心非常重要
C.信息系统安全并不追求万无一失,而是要根据资金预算,做到量力而行
D.以上说法都正确
13.人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:
A.为了更好地完成组织机构的使用
B.针对信息系统的攻击方式发生重大变化
C.风险控制技术得到革命性的发展
D.除了保密性,信息的完整性和可用性也引起了人们的关注
14.关于信息安全发展的几个阶段,下列说法中错误的是:
A.信息安全的发展,是伴随着信息技术的发展,为应对其面临不同的威胁而发展起来的
B.通信安全阶段中,最重要的是通过密码技术保证所传递信息的保密性、完整性和可用性。
C.信息安全阶段,综合了通信安全阶段和计算机安全阶段的需求
D.信息安全保障阶段,最重要的目标是保障组织机构使用(业务)的正常运行
15.按照技术能力、所拥有的资源和破坏力来排行,下列威胁中哪种威胁最大?
A.个人黑客
B.网络犯罪团伙
C.网络战士
D.商业间谍
16.信息系统安全主要从哪几个方面进行评估?
A.1个(技术)
B.2个(技术、管理)
C.3个(技术、管理、工程)
D.4个(技术、管理、工程、应用)
17.完整性机制可以防范以下哪种攻击?
A.假冒源地址或用户的地址的欺骗攻击
B.抵赖做过信息的递交行为
C.数据传输中被窃听获取
D.数据传输中被篡改或破坏
18.PPDR模型不包括:
A.策略
B.检测
C.响应
D.加密
19.根据信息系统安全保障评估框架,确定安全保障需求考虑的因素不包括下面哪一方面?
A.法规政策的要求
B.系统的价值
C.系统要对抗的威胁
D.系统的技术构成
20.依据国家标准GB/T20274《信息系统安全保障评估框架》,在信息系统安全目标中,评估对象包括哪些内容?
A.信息系统管理体系、技术体系、业务体系
B.信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程
C.信息系统安全管理、信息系统安全技术和信息系统安全工程
D.信息系统组织机构、管理制度、资产
21.关于信息安全保障管理系统建设所需要重点考虑的因素,下列说法错误的是:
A.国家、上级机关的相关政策法规要求
B.组织的业务使命
C.信息系统面临的风险
D.项目的经费预算
22.下列对访问控制技术描述最准确的是:
A.保证系统资源的可靠性
B.实现系统资源的可追查性
C.防止对系统资源的非授权访问
D.保证系统资源的可信性
23.下列对自主访问控制说法不正确的是:
A.自主访问控制允许客体决定主体对该客体的访问权限
B.自主访问控制具有较好的灵活性和可扩展性
C.自主访问控制可以方便地调整安全策略
D.自主访问控制安全性不高,常用于商业系统
24.下列对常见强制访问控制模型说法不正确的是:
A.BLP模型影响了许多其他访问控制模型的发展
B.Clark-Wilson模型是一种以事物处理为基本操作的完整性模型
C.ChineseWall模型是一个只考虑完整性的安全策略模型
D.Biba模型是一种在数学上与BLP模型对偶的完整性保护模型
25.以下关于BLP模型规则说法不正确的是:
A.BLP模型主要包括简单安全规则和*-规则
B.*-规则可以简单表述为向下写
C.主体可以读客体,当且仅当主体的安全级可以支配客体的安全级,且主体对该客体具有自住型读权限
D.主体可以写客体,当且仅当客体的安全级可以支配主体的安全级,且主体对该客体具有自住型写权限
26.在一个使用ChineseWall模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个信息兴趣冲突中,那么可以确定一个新注册的用户:
A.只有访问了W之后,才可以访问X
B.只有访问了W之后,才可以访问Y和Z中的一个
C.无论是否访问W,都只能访问Y和Z中的一个
D.无论是否访问W,都不能访问Y或Z
27.以下关于RBAC模型的说法正确的是:
A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限。
B.一个用户必须扮演并激活某种角色,才能对一个对象进行访问或执行某种操作
C.在该模型中,每个用户只能有一个角色
D.在该模型中,权限与用户关联,用户与角色关联
28.一下对Kerberos协议过程说法正确的是:
A.协议可以分为两个步骤:
一个用户身份鉴别:
二是获取请求服务
B.协议可以分为两个步骤:
意识获取票据许可票据:
二是获取请求服务
C.协议可以分为三个步骤:
一是用户身份鉴别:
二是获得票据许可票据:
三是获得服务许可票据
D.协议可以分为三个步骤:
一失获得票据许可票据:
二是获得服务许可票据:
三是获得服务
29.以下对于非集中访问控制中“域”说法正确的是:
A.每个域的访问控制与其他域的访问控制相关关联
B.跨域访问不一定需要建立信任关系
C.域中的信任必须是双向的
D.域是一个共享同一安全策略的主体和客体的集合
30.以下对单点登录技术描述不正确的是:
A.单点登录技术实质是安全凭证在多个用户之间的传递或共享
B.使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用
C.单点登录不仅方便用户使用,而且也便于管理
D.使用单点登录技术能简化应用系统的开发
31、下列对审计系统基本组成描述正确的是:
A.审计系统一般包含三个部分;日志记录、日志分析和日志处理
B.审计系统一般包含两个部分;日志记录和日志处理
C.审计系统一般包含两个部分;日志记录和日志分析
D.审计系统一般包含三个部分;日志记录、日志分析和日志报告
32.在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于______。
A.明文
B.密文
C.密钥
D.信道
33.公钥密码的应用不包括:
A.数字签名
B.非安全信道的密钥交换
C.消息认证码
D.身份认证
34.hash算法的碰撞是指:
A.两个不同的消息,得到相同的消息摘要
B.两个相同的消息,得到相同的消息摘要
C.消息摘要和消息的长度相同
D.消息摘要比消息长度更长
35.DSA算法不提供以下哪种服务?
A.数据完整性
B.加密
C.数字签名
D.认证
36.以下哪一下都不是PKI/CA要解决的问题:
A.可用性、身份鉴别
B.可用性、授权与访问控制
C.完整性、授权与访问控制
D.完整性、身份鉴别
37.以下关于VPN说法正确的是:
A.VPN指的是用户自己租用线路,和公共网络完全隔离的、安全的线路
B.VPN是用户通过公用网络建立的临时的安全连接
C.VPN不能做到信息验证和身份认证
D.VPN只能提供身份认证、不能提供加密数据的功能
38.在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A.加密
B.数字签名
C.访问控制
D.路由控制
39.WPA2包含下列哪个协议标准的所有安全特征?
A.IEEE802.11b
B.IEEE802.11c
C.IEEE802.11g
D.IEEE802.11i
40.下列关于防火墙的主要功能包括:
A.访问控制
B.内容控制
C.数据加密
D.查杀病毒
41.以下哪一项不是应用层防火墙的特点?
A.更有效的阻止应用层攻击
B.工作在OSI模型的第七层
C.速度快且对用户透明
D.比较容易进行审计
42.下面哪一项不是IDS的主要功能:
A.监控和分析用户和系统活动
B.统计分析异常活动模式
C.对被破坏的数据进行修复
D.识别活动模式以反映已知攻击
43.下列哪些项不属于NIDS的常见技术?
A.协议分析
B.零拷贝
C.SYNCookie
D.IP碎片重组
44.以下对于WINDOWS系统的服务描述,正确的是:
A.WINDOWS服务必须是一个独立的可执行程序
B.WINDOWS服务的运行不需要用户的交互登录
C.WINDOWS服务都是随系统启动而启动,无需用户进行干预
D.WINDOWS服务都需要用户进行登录后,以登录用户的权限进行启动
45.以下关于WINDOWSSAM(安全账号管理器)的说法错误的是:
A.安全账号管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam
B.安全账号管理器(SAM)存储的账号信息是存储在注册表中
C、安全账号管理器(SAM)存储的账号信息是对aadmministrator和system是可读、可写的
D、安全账号管理器(SAM)是winidws的用户数据库,系统进程通过SAM服务进行访问和操作。
46、下列关于防火墙的主要功能包括:
A、访问控制
B、内容控制
C、数据加密
D、查杀病毒
47、简单包括过滤防火墙工作在
A、链路层/网络层
B、网络层/传输层
C、应用层
D、会话层
48、以下哪一项不是应用层防火墙的特点?
A、更有效的阻止应用层攻击
B、工作在OSI模型的第七层
C、速度快且对用户透明
D、比较容易进行审计
49、下面哪一项不是IDS的主要功能
A、监控和分析用户和系统活动
B、统计分析异常活动模式
C、对被破坏的数据进行修复
D、识别活动模式以反映已知攻击
50、下列哪项选项不属于NIDS的常见技术?
A、协议分析
B、零拷贝
C、SYNCookie
D、IP碎片重组
51、下面哪一项是对IDS的正确描述?
A、基于特征(Signature-based)的系统可以检测新的攻击类型
B、基于特征(Signature-based)的系统比基于行为(behavior-based)的系统产生更多的误报
C、基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配
D、基于行为(behavior0based)的系统比基于特征(Signature-based)的系统有更高的误报
52、在unix系统中输入命令“ls-altest”显示如下
“-rwxr-xr-x3rootroot1024Sep1311:
56test”
对它的含义解释错误的是:
A、这是一个文件,而不是目录
B、文件的拥有者可以对这个文件进行读、写和执行的操作
C、文件所属组的成员有可以读它,也可以执行它
D、其他所有用户可以执行它
53、以下关于linux超级权限的说明,不正确的是:
A、一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成。
B、普通用户可以通过su和sudo来获得系统的超级权限
C、对系统日志的管理,添加和删除用户等管理工作,必须以root用户登入才能进行
D、root是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限
54、Windows系统下,哪项不是有效进行共享安全的防护措施?
A、使用netshare\\127.0.0.1\c$/delete命令,删除系统中的c$等管理共享,并重启系统
B、确保所有的共享都有高强度的密码保护
C、禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值
D、安装软件防火墙阻止外面对共享目录的连接
55、以下对于Windows系统的服务描述,正确的是:
A、windows服务必须是一个独立的可执行程序
B、Windows服务的运行不需要用户的交互登录
C、Windows服务都是随系统启动而启动,无需用户进行干预
D、windows服务都需要用户进行登录后,以登录用户的权限进行启动
56、以下关于windowsSAM(安全账户管理器)的说法错误的是:
A、安全账户管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam
B、安全账户管理器(SAM)存储的账户信息是存储在注册表中
C、安全账户管理器(SAM)存储的账户信息对adminstrator和system是可读和可写的
D、安全账户管理器(SAM)是windows的用户数据库,系统进程通过SecurityAccountsManager服务进行访问和操作
57、下列SQL语句给出关系型数据库中的哪一类完整性约束条件?
CREATETABLEStudent
(idCHAR(8),
SnameCHAR(20)NOTNULL
SageSMALLINT,
PRIMARYKEY(id)
46为了实现数据库的完整性控制,数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据,完整性规则主要由三部分组成,以下哪一个不是完整性规则的内容?
A完整性约束条件
B完整性检查机制
C完整性修复机制
D违约处理机制
47下列哪一项与数据库的安全有直接关系?
A访问控制的粒度
B数据库的大小
C关系表中属性的数量
D关系表中元组的数量
48ApacheWeb服务器的配置文件一般位于/usr/local/a/pache/conf目录,其中用来控制用户访问Apache目录的配置文件是:
Ahttpd.Conf
Bsrm.conf
CAccess.conf
Dinetd.conf
49.下列哪个是病毒的特性?
A不感染、依附性
B不感染、独立性
C可感染、依附性
D可感染、独立性
50下列哪一项不是信息安全漏洞的载体?
A网络协议
B操作系统
C应用系统
D业务数据
51在某个攻击中,由于系统用户或系统管理员主动泄露,使得攻击着可以访问系统资源的行为被称作:
A社会工程
B非法窃取
C电子欺骗
D电子窃听
52以下哪个攻击步骤是IP欺骗系列攻击中最关键和难度最高的
A对被冒充的主机进行拒绝服务攻击,使其无法对目标主机进行响应
B与目标主机进行会话,猜测目标主机的序号规则
C冒充受信主机向目标主机发送数据包,欺骗目标主机
D向目标主机发送指令,进行会话操作
53.下列哪些措施不是有效的缓冲区溢出的防御措施:
A.使用标准的C语言字符串库进行操作
B.严格验证输入字符串长度
C.过滤不合规则的字符
D.使用第三方安全的字符串库操作
54.一下哪个不是SDL的思想之一:
A.SDL是持续改进的过程,通过持续改进和优化以适应各种安全变化,追求最优效果
B.SDL要将安全思想和意识嵌入到软件团队和企业文化中
C.SDL要实现安全的可度量性
D.SDL是对传统软件开发过程的重要补充,用于完善传统软件开发中的不足
55.以下针对SDL的需求分析的描述最准确的是:
A.通过安全需求分析,确定软件安全需要的安全标准和相关要求
B.通过安全需求分析,确定软件安全需要的安全技术和工作流程
C.通过安全需求分析,确定软件安全需要的安全标准和安全管理
D.通过安全需求分析,确定软件安全需要的安全技术和安全管理
56.信息安全管理者需要完成方方面面的繁杂工作,这些日常工作根本的目标是:
A.避免系统软硬件的损伤
B.监视系统用户和维护人员的行为
C.保护组织的信息资产
D.给入侵行为制造障碍,并在发生入侵后及时发现、准确记录
57.信息安全管理的根本方法是:
A.风险处置
B.应急响应
C.风险管理
D.风险评估
58.信息安全管理体系描述不正确的是:
A.是一个组织整体管理体系的组成部分
B.是有范围和边界的
C.是风险评估的手段
D.其基本过程应遵循PDCA循环
59.下面对PDCA模型的解释不正确的是:
A.通过规划、实施、检查和处置的工作程序不断改进对体系的管理活动
B.是一种可以应用于信息安全管理活动持续改进的有效实践方法
C.也被称为“戴明环”
D.适用于对组织整体活动的优化,不适合单个的过程以及个人
60.在PDCA模型中,ACT(处置)环节的信息安全管理活动是:
A.建立环境
B.实施风险处理计划
C.持续的监视与评估风险
D.持续改进信息安全管理过程
61.以下对PDCA循环特点的描述不够正确的是:
A.按顺序进行,周而复始,不断循环
B.组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
C.每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
D.可以由任何一个阶段开始,周而复始,不断循环
62.ISMS过程中,实施信息安全教育应在哪个阶段进行?
A.实施和运行
B.保持和改进
C.建立
D.监视和评审
63.对“PDCA”循环的描述不正确的是
A.“PDCA”的含义是P-计划,D-实施,C-检查,A-改进
B.“PDCA”循环又叫“戴明”环
C.“PDCA”循环是只能用于信息安全管理体系有效进行的工作程序
D.“PDCA”循环是可用于任何一项活动有效进行的工作程序
64.风险评估方法的选定在“PDCA”循环中的哪个阶段完成?
A.实施和运行
B.保持和改进
C.建立
D.监视和评审
64.下述选项中对于“风险管理”的描述不正确的是:
A.风险管理是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接收和风险沟通
B.风险管理的目的是了解风险并采取措施处置风险并将风险消除
C.风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中
D.在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标
66.风险是需要保护的()发生损失的可能性,它是()和()综合结果
A.资产,攻击目标,威胁事件
B.设备,威胁,漏洞
C.资产,威胁,漏洞
D.以上都不对
67.下面威胁中不属于抵赖行为的是:
A.发信者事后否认曾经发送过某条信息
B.收信者事后否认曾经接收过某条信息
C.收信者事后否认曾经发送过某条信息的内容
D.收信者接收消息后更改部分内容
68.以下哪一条判断信息系统是否安全的方式是最合理的?
A.是否已经通过部署安全控制措施消灭了风险
B.是否可以抵抗大部分风险
C.是否建立了具有自适应能力的信息安全模型
D.是否已经将风险控制在可接受的范围内
69.下列哪种处置方法属于转移风险?
A.部署综合安全审计系统
B.对网络行为进行实时监控
C.制定弯身的制度体系
D.聘用第三方专业公司提供维护外包服务
70.对操作系统打补丁和系统的升级是以下哪种风险控制措施?
A.降低风险
B.规避风险
C.转移风险
D.接受风险
71、以下哪一项可认为是具有一定合理性的风险
A.总风险
B.最小化风险
C.可接受风险
D.残余风险
72、在风险管理工作中“监控审查”的目的,一是_____,而是_____
A.保证风险管理过程的有效性,保证风险管理成本的有效性
B.保证风险管理结果的有效性,保证风险管理成本的有效性
C.保证风险管理过程的有效性,保证风险管理活动的决定得到认可
D.保证风险管理结果的有效性,保证风险管理活动的决定得到认可
73、风险管理四个步骤的正确顺序是
A.背景建立、风险评估、风险处理、批准监督
B.背景建立、风险评估、审核批准、风险控制
C.风险评估、对象确立、审核批准、风险控制
D.风险评估、风险控制、对象确立、审核批准
74、某公司正在对一台关键业务服务器进行风险评估:
该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。
根据以上信息,该服务器的年度预期损失值(ALE)是多少?
A.1800元
B.62100元
C.140000元
D.6210元
75、你来到服务器机房隔壁的一间办公室,发现窗户坏了。
由于这不是你的办公室,你要求在这里办公的员工请维修工来把窗户修好。
你离
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 03 CISO4657 相同 题目 不同 红字 标记