收藏
下载资源

2024年度海南省注册信息安全专业人员模考预测题库(夺冠系列)

上传人:h****0 文档编号:378474232 上传时间:2024-01-30 格式:DOCX 页数:24 大小:44.37KB
返回 下载 相关 举报
2024年度海南省注册信息安全专业人员模考预测题库(夺冠系列)_第1页
第1页 / 共24页
2024年度海南省注册信息安全专业人员模考预测题库(夺冠系列)_第2页
第2页 / 共24页
2024年度海南省注册信息安全专业人员模考预测题库(夺冠系列)_第3页
第3页 / 共24页
2024年度海南省注册信息安全专业人员模考预测题库(夺冠系列)_第4页
第4页 / 共24页
2024年度海南省注册信息安全专业人员模考预测题库(夺冠系列)_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《2024年度海南省注册信息安全专业人员模考预测题库(夺冠系列)》由会员分享,可在线阅读,更多相关《2024年度海南省注册信息安全专业人员模考预测题库(夺冠系列)(24页珍藏版)》请在金锄头文库上搜索。

1、2024年度海南省注册信息安全专业人员模考预测题库(夺冠系列)一单选题(共60题)1、建立可接受风险的级别是下面哪个的责任,() A. 质量评估管理 B. 高级业务管理 C. 首席信息官 D. 首席安全管 试题答案:B 2、使用测试数据验证交易处理的最大挑战是()。 A. 实际的生产数据可能被污染。 B. 创建测试数据以覆盖所有可能的正常的和非正常的情景。 C. 测试结果与生产环境中的结果做比较。 D. 与高速事务处理相关的数据隔离。 试题答案:B 3、以下哪项不可以作为ISMS审核(包括内审和外审)的依据,文件审核、现场审核的依据,() A. 机房登记记录 B. 信息安全管理体系 C. 权限

2、申请记录 D. 离职人员的口述 试题答案:D 4、信息安全需求获取的主要手段是()。 A. 信息安全风险评估 B. 领导的指示 C. 信息安全技术 D. 信息安全产品 试题答案:A 5、下列哪一项是采用原形化的好处,() A. 已完成的系统自身就有很强的内部控制 B. 原型系统能够明显地节省时间和费用 C. 原型系统中的变更控制经常没那么复杂 D. 这样能确保功能性的或者额外的东西不会被加入到已经定型的系统中 试题答案:B 6、LINUX系统的/etc目录从功能上看相当于windows的哪个目录,() A. program files B. windows C. system volume i

3、nformation D. TEMP 试题答案:B 7、下面哪一项最准确的阐述了安全监测措施和安全审计措施之间的区别,() A. 审计措施不能自动执行,而检测措施可以自动执行 B. 监视措施不能自动执行,而审计措施可以自动执行 C. 审计措施是一次性地或周期性地进行,而监测措施是实时地进行 D. 监测措施一次性地或周期性地进行,而审计措施是实时地进行 试题答案:C 8、下面关于访问控制模型的说法不正确的是()。 A. DAC模型中主体对它所属的对象和运行的程序有全部的控制权 B. DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何人的访问。访问许可必须被显示地赋

4、予访问者 C. 在MAC这种模型里,管理员管理访问控制。管理员制定策略,策略定义了哪个主体能访问哪个对象。但用户可以改变它 D. RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型,主体具有相应的角色就可以访问它 试题答案:C 9、一个信息系统审计师要求参与一个关键项目的启动会议,信息系统审计师主要关心的是什么,() A. 已分析过项目的复杂性和风险 B. 已确定贯穿整个项目所需的资源 C. 项目交付文档已确定 D. 已签约的外包方合同 试题答案:A 10、哪个过程使用测试数据作为连续在线方式中程序控制的全面测试的部分,()

5、 A. 测试数据/层面 B. 基础方案系统评估 C. 完整性测试 D. 平行模拟 试题答案:B 11、以下哪个选项能够向组织确保存在第三方提供服务的有效内部控制() A. 当前的服务级别协议(SLA) B. 近期的外部审计报告 C. 当前的业务持续计划(BCP)程序 D. 最近的灾难恢复计划(DRP)测试报告 试题答案:B 12、计算机病毒会对下列计算机服务造成威胁,除了()。 A. 完整性 B. 有效性 C. 保密性 D. 可用性 试题答案:C 13、以下哪些不是无形资产,() A. 客户关系 B. 电子数据 C. 商业信誉 D. 企业品牌 试题答案:B 14、建立了信息安全程序的第一步是(

6、)。 A. 制定和实施信息安全标准手册 B. IS审计师执行对于安全控制理解的审查 C. 采用公司的信息安全政策报告 D. 购买安全访问控制软件 试题答案:C 15、对以下哪项的频繁更新是使一个灾难恢复计划持续有效的关键,() A. 关键人员的联系信息 B. 服务器详细目录文档 C. 个人角色和职责 D. 阐述灾难的程序 试题答案:A 16、ESP协议AH协议使用的协议号分别是() A. ESP协议使用的IP49协议,AH协议使用的是IP50协议 B. ESP协议使用的IP50协议,AH协议使用的是IP51协议 C. ESP协议使用的IP51协议,AH协议使用的是IP52协议 D. ESP协议

7、使用的IP50协议,AH协议使用的是IP49协议 试题答案:B 17、以下哪一项是对信息系统经常不能满足用户需求的最好解释,() A. 没有适当的质量管理工具 B. 经常变化的用户需求 C. 用户参与需求挖掘不够 D. 项目管理能力不强 试题答案:C 18、软件开发开发测试阶段的尾声,IS审计师发现软件交互错误没有纠正。没有采取任何行动解决这个错误。该审计员应()。 A. 报告发现的错误,并让被审计人员进一步解释 B. 尽力解决错误 C. 建议问题解决增加 D. 忽略错误,因为对于软件错误不可能得到客观事实 试题答案:C 19、使电子邮件中数字签名有效将()。 A. 帮助检测垃圾邮件 B. 提

8、供机密性 C. 会给网关服务器增加负载 D. 明显减少可用的带宽 试题答案:A 20、实施后审查阶段,下面哪一种工具IS审计师可以用来得到内存中内容的映像,在程序执行的不同阶段()。 A. 内存 B. 逻辑路径监控 C. 追踪工具 D. 输出分析 试题答案:C 21、准备业务连续性计划时,确定恢复点目标(RPO)需要知道()。 A. 一旦运营中断,可接受的数据丢失程度 B. 一旦运营中断,可接受的停机时间 C. 可用的非现场备份设施类型(是冷站、温站,还是热站) D. 支持关键业务功能的IT平台类型 试题答案:A 22、软件安全开发中软件安全需求分析阶段的主要目的是()。 A. 确定软件的攻击

9、面,根据攻击面制定软件安全防护策略 B. 确定软件在计划运行环境中运行的最低安全要求 C. 确定安全质量标准,实施安全和隐私风险评估 D. 确定开发团队关键里程碑和交付成果 试题答案:D 23、下面对“零日(zero-day)漏洞”的理解中,正确的是()。 A. 指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限 B. 指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施 C. 指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在1天内完成攻击,且成功达到攻击目标 D. 指一类漏洞,即刚被发现

10、后立即被恶意利用的安全漏洞,一般来说,那些已经被小部分人发现,但是还未公开、还不存在安全补丁的漏洞都是零日漏洞 试题答案:D 24、关于源代码审核,下列说法正确的是,() A. 源代码往往需要大量的时间,采用人工审核费时费力,但可以通过多人并行审核来弥补这个缺点 B. 源代码审核工具应当以检查源代码的功能是否完整,是否执行正确为主要功能 C. 使用工具进行源代码审核自动化执行代码检查和分析,能够极大提高软件可靠性并节约软件开发和测试的成本己经取代了传统的人工审核 D. 源代码审核是指无需运行被测代码,仅对源代码检查分析,检测并报告源代码中可能隐藏的错误和缺陷 试题答案:D 25、职责分离式信息

11、安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员单独进行操作可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背,() A. 数据安全管理员 B. 数据安全分析员 C. 系统审核员 D. 系统程序员 试题答案:D 26、当检查IT基础设施时,IS审计师发现存储设备在持续增加,那么他应该:() A. 建议使用磁盘镜像 B. 检查异地存储的适当性 C. 检查能力管理的过程 D. 建议使用压缩规则 试题答案:C 27、信息系统安全保护等级为3级的系统,应当在()年进行一次等级测评。 A. 0

12、.5 B. 1 C. 2 D. 3 试题答案:B 28、以下哪些事件对于组织可能会成为灾难性事件()。1.地震、洪水、龙卷风、火灾2.恐怖袭击、电力和通讯中断3.黑客攻击、病毒蔓延4.硬件故障、软件升级导致系通宕机 A. 1、2 B. 2、3、4 C. 1、2、3 D. 1、2、3、4 试题答案:D 29、制定应急响应策略主要需要考虑()。 A. 系统恢复能力等级划分 B. 系统恢复资源的要求 C. 费用考虑 D. 人员考虑 试题答案:D 30、制定一个成功的业务连续性计划,最终用户在下列那个阶段涉入是最关键的,() A. 业务恢复战略 B. 制定详细计划 C. 业务影响分析(BIA) D.

13、测试和维护 试题答案:C 31、VPN系统主要用来() A. 进行用户身份的鉴别 B. 进行用户行为的审计 C. 建立安全的网络通信 D. 对网络边界进行访问控制 试题答案:C 32、有什么方法可以测试办公部门的无线安全,() A. War dialing战争语言 B. 社会工程学 C. 战争驾驶 D. 密码破解 试题答案:D 33、风险管理的产出结果是下面哪一项的输入()。 A. 业务计划 B. 审计章程 C. 安全政策策略 D. 软件设计策略 试题答案:C 34、为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景中用到下列

14、哪些鉴别方法,() A. 实体“所知”以及实体“所有”的鉴别方法 B. 实体“所有”以及实体“特征”的鉴别方法 C. 实体“所知”以及实体“特征”的鉴别方法 D. 实体“所有”以及实体“行为”的鉴别方法 试题答案:A 35、北京某公司利用SSE-CMM对其自身工程队伍能力进行自我改善,其理解正确的是() A. 系统安全工程能力成熟度模型(SSE-CMM)定义了6个能力级别。当工程队伍不能执行一个过程域中的基本实践时,该过程域的过程能力是0级 B. 达到SSE-CMM最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同 C. 系统安全工程能力成熟度模型(SSE-CMM)定义了3个风险过程:评价威胁,评价脆弱性,评价影响 D. SSE-CMM强调

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 其它考试类文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号