《2024年度江西省注册信息安全专业人员试题及答案一》由会员分享,可在线阅读,更多相关《2024年度江西省注册信息安全专业人员试题及答案一(24页珍藏版)》请在金锄头文库上搜索。
1、2024年度江西省注册信息安全专业人员精选试题及答案一一单选题(共60题)1、为信息系统备份文件的异地储存设备选择一个场所,哪项是最重要的标准()。这个异地设备必须()。 A. 与数据中心物理隔离,以免遭到同样的风险。 B. 与计算机数据中心相同级别的保护 C. 向可靠的第三方外购 D. 配备监视设备 试题答案:A 2、时间流逝对停工成本和替换恢复策略成本有什么影响,() A. 两个成本增加 B. 停工成本增加,替代恢复策略的成本随时间的流逝而减少 C. 两个成本都随时间的流逝而减少 D. 没有影响 试题答案:A 3、下列哪种IDS将最有可能对正常网络活动产生错误警报,() A. 基于统计 B
2、. 基于数字签名 C. 神经网络 D. 基于主机 试题答案:A 4、一个VLAN可以看做是一个()。 A. 冲突域 B. 广播域 C. 管理域 D. 阻塞域 试题答案:B 5、IS管理层建立变更管理程序的目的是()。 A. 控制应用从测试环境向生产环境的移动 B. 控制因忽略了未解决的问题而导致的业务中断 C. 保证在灾难发生时业务操作的不间断 D. 检验系统变更已得到适当的书面的记录 试题答案:A 6、为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,()提出和规定了不同安全保护等级信
3、息系统的最低保护要求,并按照技术和管理两个方面提出了相关基本安全要求。 A. GB,T22239-2008信息系统等级保护安全设计技术要求 B. GB,T22240-2008信息系统安全保护等级定级指南 C. GB,T25070-2010信息系统等级保护安全设计技术要求 D. GB,T28449-2012信息系统安全等级保护测评过程指南 试题答案:B 7、密码处理依靠使用密钥,密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥,() A. 对称的公钥算法 B. 非对称私钥算法 C. 对称密钥算法 D. 非对称密钥算法 试题答案:C 8、在企业内部互联网中,一个有效
4、的安全控制机制是()。 A. 复查 B. 静态密码 C. 防火墙 D. 动态密码 试题答案:C 9、以下哪一项是创建防火墙策略的第一步()。 A. 对于安全应用的成本效益分析方法 B. 识别外部访问的网络应用 C. 识别外部访问的网络应用的脆弱性 D. 设立应用控制矩阵,显示保障办法 试题答案:B 10、实施开源软件(OSS)时,以下那个选项带来的好处最大() A. 减少总拥有成本(TCO) B. 降低自定义程序源代码的难度 C. 缓解过于依赖单一软件提供商的风险 D. 减少执行系统升级的工作量 试题答案:C 11、CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性
5、,() A. 结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展 B. 表达方式的通用性,即给出通用的表达方式 C. 独立性,它强调将安全的功能和保证分离 D. 实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中 试题答案:D 12、ISO27002中描述的11个信息安全管理控制领域不包括() A. 信息安全组织 B. 资产管理 C. 内容安全 D. 人力资源安全 试题答案:C 13、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一,() A. 提高信息技术产品的国产化率 B. 保证信息安全资金投
6、入 C. 加快信息安全人才培养 D. 重视信息安全应急处理工作 试题答案:A 14、分级保护是保护下面哪类系统,() A. 涉密系统 B. 电子政务系统 C. 商业系统 D. 军用系统 试题答案:A 15、某机构通过一张网络拓扑图为甲方编写了信息安全规划并实施,其后发现实施后出现诸多安全隐患并影响业务运行效率,其根本的原因是() A. 设计方技术能力不够 B. 没有参照国家相关要求建立规划设计 C. 没有和用户共同确立安全需求 D. 没有成熟实施团队和实施计划 试题答案:C 16、一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义
7、到期日期。该IS审计师应该建议以下哪个选项,() A. 审查访问控制特权授权过程 B. 实施身份管理系统(IMS) C. 改进对敏感客户数据更改进行审计的流程 D. 仅将火警账户授予经理 试题答案:A 17、下面关于软件测试的说法错误的是()。 A. 所谓“黑盒”测试就是测试过程不测试报告中的进行描述,切对外严格保密 B. 出于安全考虑,在测试过程中尽量不要使用真实的生产数据 C. 测试方案和测试结果应当成为软件开发项目文档的主要部分被妥善的保存 D. 软件测试不仅应关注需要的功能是否可以被实现,还要注意是否有不需要的功能被实现了 试题答案:A 18、当评估由某IT组织的CRO(首席风险官)完
8、成的控制自我评估(CSA)时,审计师最应该关注以下哪一个选项:() A. CRO直接向CIO(首席信息官)报告 B. 某些IT经理指出CSA培训是不能满足要求 C. CRO直接向董事会报告 D. CSA流程最近刚刚被组织采用 试题答案:A 19、在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则,() A. 标准(Standard) B. 安全策略(Security policy) C. 方针(Guideline) D. 流程(Procedure) 试题答案:A 20、自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后
9、由该组织申报。() A. 全国通信标准化技术委员会(TC485) B. 全国信息安全标准化技术委员会(TC260) C. 中国通信标准化协会(CCSA) D. 网络与信息安全技术工作委员会 试题答案:B 21、以下哪一项最能保障广域网络与组织广域网的连续性,() A. 内置替换路由 B. 每天完成所有系统备份 C. 服务商提供的维护协议 D. 每个服务器都有备用机 试题答案:A 22、系统的弱点被黑客利用的可能性,被称为() A. 风险 B. 残留风险 C. 暴露 D. 几率 试题答案:A 23、以下只用于密钥交换的算法是()。 A. RSA B. ECC C. DH D. RC4 试题答案:
10、C 24、某公司正在对一台关键业务服务器进行风险评估,该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。根据以上信息,该服务器的年度预期损失值(ALE)是多少,() A. 1800元 B. 62100元 C. 140000元 D. 6210元 试题答案:D 25、以下哪一个是最主要的优势,利用计算机司法软件进行调查()。 A. 维护保管的一系列电子证据 B. 节约时间 C. 效率和效益 D. 寻求侵犯知识产权证据的能力 试题答案:A 26、下列哪一项最准确地描述了定量风险分析,() A. 通过基于场景的分析方法来研究不同的安
11、全威胁 B. 一种将潜在的损失以及进行严格分级的分析方法 C. 在风险分析时,将货币价值赋给信息资产 D. 一种基于主观判断的风险分析方法 试题答案:C 27、下列哪些防止了数据库中的数据混乱()。 A. 循环完整性 B. 域完整 C. 合理完整性 D. 参照完整性 试题答案:D 28、USB端口()。 A. 连接网络,无需网卡 B. 连接具有以太网适配器的网络 C. 替换所有连接 D. 连接显示器 试题答案:B 29、为了帮助用户成功测试和验收一个企业资源规划(ERP)薪资管理系统,以替换现存旧版系统,下面哪种方法是最好的,() A. 多重测试 B. 并行测试 C. 集成测试 D. 原型测试
12、 试题答案:B 30、控制自我评估的成功高度依赖于()。 A. 让直线经理承担一部分控制监控责任 B. 分配构建控制的责任,但没有监控责任 C. 实施严格的控制政策并按规则进行控制 D. 对已分配的责任实施监督和监控 试题答案:A 31、安全模型明确了安全策略所需的数据结构和技术,下列哪项最好描述了安全模型中的“简单安全规则”,() A. Biba模型中的不允许向上写 B. Biba模型中的不允许向下读 C. Bell-Lapadula模型中的不允许向下写 D. Bell-Lapadula模型中的不允许向上读 试题答案:D 32、在linux系统中配置文件通常存放在什么目录下,() A. /b
13、oot B. /etc C. /dev D. /lib 试题答案:B 33、现代“干管”系统的特征是()。 A. 不如自动喷淋灭火系统成熟 B. 增加了意外喷水的机会 C. 是二氧化氮灭火系统的替代系统 D. 是自动喷淋灭火系统的替代系统 试题答案:D 34、在线(处理)系统环境下,难以做到完全的职责分工时,下面哪一个职责必须与其他分开()。 A. 数据采集和录入 B. 授权/批准 C. 记录 D. 纠错 试题答案:B 35、在软件测试中使用自下而上方式优于自上而下方式的好处是()。 A. 界面错误会被较早发现 B. 较早建立对系统的信心 C. 关键模块中的错误会被较早发现 D. 主要功能和过程得到较早测试 试题答案:C 36、下面哪一项是黑客用来实施DDOS攻击的工具,() A. LC5 B. Rootkit C. Icesword D. Trinoo 试题答案:D 37、根据关于加强国家电子政务工程建设项目信息安全风险评估工作的通知的规定,以下正确的是() A. 涉密信息系统的风险评估应按照信息安全等级保护管理办法等国家有关保密规定和标准进行 B. 非涉密信息系统的风险评估应按照非涉及国家秘密的信息系统分级保护管理办法等有关要求进行 C. 可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告 D.
