《2024年度湖南省注册信息安全专业人员考试题库》由会员分享,可在线阅读,更多相关《2024年度湖南省注册信息安全专业人员考试题库(24页珍藏版)》请在金锄头文库上搜索。
1、2024年度湖南省注册信息安全专业人员考试题库一单选题(共60题)1、VPN技术无法实现以下哪个服务,() A. 身份验证 B. 传输加密 C. 完整性校验 D. 可用性校验 试题答案:D 2、在数据中心环境中,下列哪一种灭火系统最应该被采用,() A. 干管喷淋灭火系统 B. 湿管喷淋灭火系统 C. Halon灭火系统 D. 二氧化碳气体 试题答案:A 3、应用系统开发的责任下放到各业务基层,最有可能导致的后果是() A. 大大减少所需数据通讯 B. 控制水平较低 C. 控制水平较高 D. 改善了职责分工 试题答案:B 4、IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪
2、一种漏洞或威胁需要特别关注,() A. 安全官兼职数据库管理员 B. 客户/服务器系统没有适当的管理口令/密码控制 C. 主机系统上运行的非关键应用没有纳入业务持续性计划的考虑 D. 大多数局域网上的档服务器没有执行定期地硬盘备份 试题答案:B 5、降低企业所面临的信息安全风险,可能的处理手段不包括哪些,() A. 通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺陷 B. 通过数据备份、双机热备等冗余手段来提升信息系统的可靠性; C. 建立必要的安全制度和部署必要的技术手段,防范黑客和恶意软件的攻击 D. 通过业务外包的方式,转嫁所有的安全风险 试题答案:D 6、在软件开发的需
3、求定义阶段,在软件测试方面,以下哪一个选项被制定,() A. 覆盖关键应用的测试数据 B. 详细的安全测试计划 C. 质量保证测试标准 D. 用户验收测试标准 试题答案:D 7、理想的压力测试应该在()。 A. 使用测试数据的测试环境 B. 使用真实数据的生产环境 C. 使用真实工作量的测试环境 D. 使用测试数据的生产环境 试题答案:C 8、渗透性测试的第一步是()。 A. 信息收集 B. 漏洞分析与目标选定 C. 拒绝服务攻击 D. 尝试漏洞利用 试题答案:A 9、下面对于X.25协议的说法错误的是()。 A. 传输速率可达到56Kbps B. 其优点是反复的错误校验颇为费时 C. 其缺点
4、是反复的错误校验颇为费时 D. 由于它与TCP/IP协议相比处于劣势,所以渐渐被后者淘汰 试题答案:C 10、为了确定哪些用户有权进入享有特权的监控态,IS审计人员应该检查以下哪一项,() A. 系统访问日志文件 B. 被启动的访问控制软件参数 C. 访问控制违犯日志 D. 系统配置文件中所使用的控制选项 试题答案:D 11、IS审计师审查组织的IS灾难恢复计划,应该确认计划:() A. 每六个月进行测试 B. 定期审查与更新 C. 通过CEO审批 D. 与组织各部门的领导沟通过 试题答案:B 12、有关定性风险评估和定量风险评估的区别,以下描述不正确的是()。 A. 定性风险评估比较主观,而
5、定量风险评估更客观 B. 定性风险评估容易实施,定量风险评估往往数据准确性很难保证 C. 定性风险评估更成熟,定量风险评估还停留在理论阶段 D. 定性风险评估和定量风险评估没有本质区别,可以通用 试题答案:D 13、在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提是用户与网络的接口,() A. 网络层 B. 表示层 C. 应用层 D. 物理层 试题答案:C 14、为了实现数据库的完整性控制,数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据,完整性规则主要由3部分组成,以下哪一个不是完整性规则的内容,() A. 完整性约束条件 B. 完整性检查
6、机制 C. 完整性修复机制 D. 违约处理机制 试题答案:D 15、以下哪一种系统性技术可被财务处理公司用来监控开支的构成模型并鉴别和报告异常情况,() A. 神经网络 B. 数据库管理软件 C. 管理信息系统 D. 计算机辅助审计技术 试题答案:A 16、下面对于SSE-CMM保证过程的说法错误的是() A. 保证是指安全需求得到满足的可信任程度 B. 信任程度来自于对安全工程过程结果质量的判断 C. 自验证与证实安全的主要手段包括观察、论证、分析和测试 D. PA“建立保证论据”为PA“验证与证实安全提供了证据支持 试题答案:D 17、时间的流逝对服务中断损失成本和中断恢复成本会有什么影响
7、,() A. 两个成本增加 B. 中断的损失成本增加,中断恢复的成本随时问的流逝而减少 C. 两个成本都随时间的流逝而减少 D. 没有影响 试题答案:B 18、OSI中哪一层不提供机密性服务,() A. 表示层 B. 传输层 C. 网络层 D. 会话层 试题答案:D 19、以下哪个不属于信息安全的三要素之一,() A. 机密性 B. 完整性 C. 抗抵赖性 D. 可用性 试题答案:C 20、TCP采用第三次握手来建立一个连接,第二次握手传输什么信息,() A. SYN B. SYN+ACK C. ACK D. FIN 试题答案:B 21、路由器工作在OSI的哪一层,() A. 传输层 B. 数
8、据链路层 C. 网络层 D. 应用层 试题答案:C 22、在数据文件服务中实施磁盘冗余阵列(RAID)level1的主要目的是,() A. 实现性能改善 B. 提供用户省份验证 C. 确保数据可用性 D. 确保数据保密性 试题答案:C 23、某IS审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块资料传输通讯,而微机只支援异步ASCII字符资料通讯。为实现其连通目标,需为该IS审计人员的微机增加以下哪一类功能()。 A. 缓冲器容量和平行埠 B. 网络控制器和缓冲器容量 C. 平行埠和协定转换 D. 协定转换和缓冲器容量 试题答案:D 24、拒绝服务攻击危及以下哪一项信息系统属性(
9、)。 A. 完整性 B. 可用性 C. 机密性 D. 可靠性 试题答案:B 25、IS审计师从一个客户的数据库引入数据。下一步需要确认输入数据是否完整,是由()。 A. 匹配输入数据的控制总数和原始数据的控制总数 B. 对数据进行排序以确认是否数据和原始数据的序号相同 C. 审查打印输出的前100条原始记录和输入数据的前100条记录 D. 按照不同的分类过滤数据,和原始数据核对 试题答案:A 26、Chinese Wall模型的设计宗旨是()。 A. 用户只能访问那些与已经拥有的信息不冲突的信息 B. 用户可以访问所有信息 C. 用户可以访问所有已经选择的信息 D. 用户不可以访问那些没有选择
10、的信息 试题答案:A 27、IS审计人员应在系统开发流程的哪一个阶段首次提出应用控制的问题()。 A. 构造 B. 系统设计 C. 验收测试 D. 功能说明 试题答案:D 28、在信息安全风险管理体系中分哪五个层面,() A. 决策层、管理层、执行层、支持层、用户层 B. 决策层、管理层、建设层、维护层、用户层 C. 管理层、建设层、运行层、支持层、用户层 D. 决策层、管理层、执行层、监控层、用户层 试题答案:D 29、有关认证和认可的描述,以下不正确的是()。 A. 认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书) B. 根据对象的不同,认证通常分为产品认证和体
11、系认证 C. 认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认 D. 企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求 试题答案:D 30、IS审计师对一家电信公司进行网络安全检查,该电信公司为大型购物中心的无线用户提)和安全接层(SSL)技术来保护供无线网络连接服务。该电信公司使用无线传输层安全(WTLS顾客的支付信息。IS审计师应该最关注,如果黑客:() A. 破坏WAP网关 B. 在服务器前端安装嗅探程序 C. 盗窃顾客的PDA D. 侦听无线传输 试题答案:A 31、以下对企业信息安全活动的组织描述不正确的是()。 A.
12、 企业应该在组织内建立发起和控制信息安全实施的管理框架 B. 企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全 C. 在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定 D. 企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施 试题答案:D 32、在软件测试中使用自下而上方式的优势:() A. 尽早检测到接口 B. 能较早完成系统开发 C. 更早地检测到关键模块的错误 D. 更早地测试主要功能和过程 试题答案:C 33、P2DR模型通过传统的静态安全技术和方法提高网络的防护
13、能力,这些技术包括(), A. 实时监控技术 B. 访问控制技术 C. 信息加密技术 D. 身份认证技术 试题答案:A 34、审计章程应该是:() A. 动态且经常变更,与技术和审计专业的变化本质保持同步和一致 B. 清晰地说明审计目标、审计的委托关系,以及维护和审查内部控制中的授权职责 C. 为了取得计划的审计目标而制定的审计程序的文件 D. 对审计工作的整体授权、范围、职责的描述 试题答案:D 35、ISMS审核时,对审核发现中,以下哪个是属于严重不符合项,() A. 关键的控制程序没有得到贯彻,缺乏标准规定的要求可构成严重不符合项 B. 风险评估方法没有按照ISO27005(信息安全风险管理)标准进行 C. 孤立的偶发性的且对信息安全管理体系无直接影响的问题 D. 审核员识别的可能改进项 试题答案:D 36、在对存货应用系统的审计过程中,以下哪个方法能为判断采购订单的有效性提供最有利的证据,() A. 测试是否存在不恰当的员工可以更改应用参数的情况 B. 跟踪采购订单至计算机列表 C. 将验收报告与详细采购订单相比 D. 审查应用系统的文档 试题答案:A 37、在对组织的灾难恢复计划进行审查后,信息系统审计师要求与公司管理层召开会议以讨论审计发现。以下哪一项是对此次会议的主要目标的最佳描述,() A. 取得管理层对整改行动的批准 B. 验证审计发现的准确性
