APP下载

IT互联网

注册信息安全专业人员试题

搜索

注册信息安全专业人员试题

题目内容

(

单选题

)

8.保护-检测-响应( ) 模型是() 工作中常用的模型, 其思想是承认() 中漏洞的存在,正视系统面临的() ,通过采取适度防护、加强() 、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。

A、　信息系统;信息安全保障; 威胁;检测工作

B、　信息安全保障;威胁;信息系统;检测工作

C、　信息安全保障;信息系统; 威胁;检测工作

D、　信息安全保障;信息系统; 检测工作;威胁

答案：C

解析：解析:保护-检测-响应(Protection-Detection-Response ,PDR)模型是信息安全保障工作中常用的模型,其思想是承认信息系统中漏洞的存在,正视系统面临的威胁,通过采取适度防护、加强检测工作、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。P25 页。

注册信息安全专业人员试题

47.某单位系统管理员对组织内核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于以下哪一种:

点击查看题目

27.一个信息管理系统通常会对用户进行分组并实施访问控制。例如,在一个学校的教务系统中,教师能够录入学生的考试成绩,学生只能查看自己的分数,而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中,对访问控制的作用的理解错误的是 () 。

点击查看题目

14.某 IT 公司针对信息安全事件已经建立了完善的预案,在年度企业信息安全总结会上, 信息安全管理员对今年应急预案工作做出了四个总结,其中有一项总结工作是错误,作为企业的 CSO,请你指出存在问题的是哪个总结? ()

点击查看题目

25.某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试, 以下关于模糊测试过程的说法正确的是() 。

点击查看题目

97.下列对网络认证协议 Kerberos 描述正确的是:

点击查看题目

91.组织应开发和实施使用( )来保护信息的策略,基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量。当选择实施组织的( )时,应考虑我国应用密码技术的规定和限制,以及( )跨越国界时的问题。组织应开发和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求,包括密钥的生成、存储、归档、检索、分配、卸任和销毁。宜根据最好的实际效果选择加密算法、密钥长度和使用习惯。适合的( )要求密钥在生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宜保护所有的密钥免遭修改和丢失。另外,秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备应进行( )。

点击查看题目

34.IPv4 协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联、互通,仅仅依靠 IP 头部的校验和字段来保证 IP 包的安全,因此 IP 包很容易被篡改,并重新计算校验和。IETF 于 1994 年开始制定 IPSec 协议标准,其设计目标是在 IPv4 和 IPv6环境中为网络层流量提供灵活、透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性。下列选项中说法错误的是( )

点击查看题目

37.信息系统安全工程( )的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因素,在 IT 项目的立项阶段,以下哪一项不是必须进行的工作:

点击查看题目

15.目前,信息系统面临外部攻击者的恶意攻击威胁, 从威胁能力和掌握资源分,这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分,则下面选项中属于组织威胁的是() 。

点击查看题目

73.在软件项目开发过程中,评估软件项目风险时,()与风险无关。

题目内容

(

单选题

)

手机预览

注册信息安全专业人员试题

8.保护-检测-响应( ) 模型是() 工作中常用的模型, 其思想是承认() 中漏洞的存在,正视系统面临的() ,通过采取适度防护、加强() 、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。

A、　信息系统;信息安全保障; 威胁;检测工作

B、　信息安全保障;威胁;信息系统;检测工作

C、　信息安全保障;信息系统; 威胁;检测工作

D、　信息安全保障;信息系统; 检测工作;威胁

答案：C

相关题目

A. 　强制访问控制

B. 　基于角色的访问控制

C. 　自主访问控制

D. 　基于任务的访问控制

解析：解析:”针对每个用户指明”

点击查看答案

A. 　对经过身份鉴别后的合法用户提供所有服务

B. 　在用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理

C. 　拒绝非法用户的非授权访问请求

D. 　防止对信息的非授权篡改和滥用

解析：解析:访问控制的核心:允许合法用户的授权访问,防止非法用户的访问和合法用户的越权访问。。P304 页。

点击查看答案

A. A、公司成立了信息安全应急响应组织，该组织由业务和技术人员组成，划分成应急响应领导小组、技术保障小组、专家小组、实施小组和日常运行小组

B. B、公司应急预案包括了基础环境类、业务系统类、安全事件类和其他类，基本覆盖了各类应急事件类型

C. C、公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急预案五个阶段，流程完善可用

D. D、公司应急预案对事件分类依据 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》，分为 7 个基本类别，预案符合国家相关标准

解析：解析:“后期运维、更新现有应急预案”不属于应急演练流程里面的内容。

点击查看答案

25.某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试, 以下关于模糊测试过程的说法正确的是() 。

A. 　模拟正常用户输入行为,生成大量数据包作为测试用例

B. 　深入分析网站测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析

C. 　监测和记录输入数据后程序正常运行的情况

D. 　数据处理点、数据通道的入口点和可信边界点往往不是测试对象

解析：解析:A 选项应为模拟异常用户输入行为;C 监测和记录由输入导致的任何崩溃或异常现象; D 数据处理点、数据通道的入口点和可信边界点是测试对象.

点击查看答案

97.下列对网络认证协议 Kerberos 描述正确的是:

A. 　该协议使用非对称密钥加密机制

B. 　密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成

C. 　该协议完成身份鉴别后将获取用户票据许可票据

D. 　使用该协议不需要时钟基本同步的环境

解析：解析:A 错误,因为使用对称密码;B 错误,因为密钥分发中心不包括客户机;D 错误,因为协议需要时钟同步。三个步骤:1)身份认证后获得票据许可票据;2)获得服务许可票据;3)获得服务。

点击查看答案

A. 　加密控制措施; 加密信息 ; 密码策略; 密钥管理; 物理保护

B. 　加密控制措施; 密码策略 ; 密钥管理; 加密信息; 物理保护

C. 　加密控制措施; 密码策略 ; 加密信息; 密钥管理:物理保护

D. 　加密控制措施; 物理保护 ; 密码策略; 加密信息; 密钥管理

解析：解析:P112 页

点击查看答案

A. 　对于 IPv4, IPSec 是可选的,对于 IPv6,IPSec 是强制实施的。

B. 　IPSec 协议提供对 IP 及其上层协议的保护。

C. 　IPSec 是一个单独的协议

D. 　IPSec 安全协议给出了封装安全载荷和鉴别头两种通信保护机制。

解析：解析:IPSec 不是一个单独的协议,它还包括 AH(网络认证协议)、ESP(载荷封装协议)、IKE(密钥管理协议)等。

点击查看答案

37.信息系统安全工程( )的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因素,在 IT 项目的立项阶段,以下哪一项不是必须进行的工作:

A. 　明确业务对信息安全的要求

B. 　识别来自法律法规的安全要求

C. 　论证安全要求是否正确完整

D. 　通过测试证明系统的功能和性能可以满足安全要求

解析：解析:D 属于项目的验收阶段,不属于 IT 项目的立项阶段,题干属于立项阶段。

点击查看答案

A. 　喜欢恶作剧、实现自我挑战的娱乐型黑客

B. 　巩固战略优势,执行军事任务、进行目标破坏的信息作战部队

C. 　实施犯罪、获取非法经济利益网络犯罪团伙

D. 　搜集政治、军事、经济等情报信息的情报机构

解析：解析:A 属于个人威胁;B 和 D 属于国家威胁。

点击查看答案

73.在软件项目开发过程中,评估软件项目风险时,()与风险无关。

A. 　高级管理人员是否正式承诺支持该项目

B. 　开发人员和用户是否充分理解系统的需求

C. 　最终用户是否同意部署已开发的系统

D. 　开发需求的资金是否能按时到位

解析：解析:ABD 都对项目风险有一定影响,C 项是否同意部署在开发完成以后。

类似热门题库

HCNA-Security知识练习复习题库

大学信息技术基础_复习资料

网上培训练习题库