APP下载

首页

IT互联网

注册信息安全专业人员试题

搜索

注册信息安全专业人员试题

题目内容

(

单选题

)

49.从系统工程的角度来处理信息安全问题,以下说法错误的是:

A、　系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。

B、　系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。

C、　系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。

D、　系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。

答案：C

解析：解析:SSE-CMM 是面向工程过程质量控制的一套方法。

注册信息安全专业人员试题

68.随着计算机在商业和民用领域的应用,安全需求变得越来越多样化, 自主访问控制和强制访问控制难以适应需求,基于角色的访问控制 ( ) 逐渐成为安全领域的一个研究热点。RBAC 模型可以分为 RBAC0、RBAC1、RBAC2 和 RBAC3四种类型,它们之间存在相互包含关系。下列选项中,对它们之间的关系描述错误的是 () 。

点击查看题目

78.王明买了一个新的蓝牙耳机,但王明听说使用蓝牙设备有一定的安全威胁,于是王明找到对蓝牙技术有所了解的王红,希望王红能够给自己一点建议,以下哪一条建议不可取()

点击查看题目

2.某公司系统管理员最近正在部署一台 Web 服务器,使用的操作系统是 windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:

点击查看题目

9.随着信息安全涉及的范围越来越广,各个组织对信息安全管理的需求越来越迫切,越来越多的组织开始尝试使用参考 ISO27001 介绍的 ISMS 来实施信息安全管理体系,提高组织的信息安全管理能力。关于 ISMS,下面描述错误的是( )。

点击查看题目

42.具有行政法律责任强制力的安全管理规定和安全制度包括()(1)安全事件(包括安全事故)报告制度(2)安全等级保护制度(3)信息系统安全监控(4)安全专用产品销售许可证制度

点击查看题目

75.社会工程学本质上是一种() , () 通过种种方式来引导受攻击者的() 向攻击者期望的方向发展。罗伯特•B•西奥迪尼( )在科学美国人(2001年 2 月)杂志中总结对() 的研究,介绍了 6 种”人类天性基本倾向”,这些基本倾向都是() 工程师在攻击中所依赖的(有意思或者无意识的) 。

点击查看题目

53.若一个组织声称自己的 ISMS 符合 ISO/IBC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常在以下方面实施常规控制,不包括哪一项 ()

点击查看题目

100.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?

点击查看题目

36.某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?

点击查看题目

97.以下关于开展软件安全开发必要性描错误的是?()

题目内容

(

单选题

)

手机预览

注册信息安全专业人员试题

49.从系统工程的角度来处理信息安全问题,以下说法错误的是:

B、　系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。

C、　系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。

答案：C

解析：解析:SSE-CMM 是面向工程过程质量控制的一套方法。

相关题目

A. 　RBACO 是基于模型,RBAC1、RBAC2 和 RBAC3 都包含 RBAC0

B. 　RBAC1 在 RBAC0 的基础上,加入了角色等级的概念

C. 　RBAC2 在 RBAC1 的基础上,加入了约束的概念

D. 　RBAC3 结合 RBAC1 和 RBAC2,同时具备角色等级和约束

解析：解析:RBAC2 在 RBAC0 的基础上,加入了约束的概念,P313 页

点击查看答案

A. 　在选择使用蓝牙设备时,应考虑设备的技术实现及设置是否具备防止上述安全威胁的能力

B. 　选择使用工能合适的设备而不是功能尽可能多的设备、尽量关闭不使用的服务及功能

C. 　如果蓝牙设备丢失,最好不要做任何操作

D. 　在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现

解析：解析:如果蓝牙设备丢失,应把设备从已配对列表众删除。

点击查看答案

A. 　网络中单独部署 syslog 服务器,将 Web 服务器的日志自动发送并存储到该 syslog 日志服务器中

B. 　严格设置 Web 日志权限,只有系统权限才能进行读和写等操作

C. 　对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等

D. 　使用独立的分区用于存储日志,并且保留足够大的日志空间

点击查看答案

A. 　组织的管理层应确保 ISMS 目标和相应的计划得以制定,信息安全管理目标应明确、可度量,风险管理计划应具体,具备可行性

B. 　组织的管理层应全面了解组织所面临的信息安全风险,决定风险可接受级别和风险可接受准则,并确认接受相关残余风险

C. 　组织的信息安全目标、信息安全方针和要求应传达到全组织范围内,应包括全体员工,同时,也应传达到客户、合作伙伴和供应商等外部各方

D. 　在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS 建设指明方向并提供总体纲领,明确总体要求

解析：解析:方针应由组织的管理层颁布。

点击查看答案

A. 　2,3

B. 　1,2,3

C. 　2,3,4

D. 　1,2,4

解析：解析:(1)来源于《安全生产法》第八十条,(2)(4)是常识。

点击查看答案

A. 　攻击者; 心理操纵;思维;心理操纵; 思维;社会工程学

B. 　攻击者; 心理操纵;心理操纵;社会工程学

C. 　心理操纵;攻击者;思维;心理操纵; 社会工程学

D. 　心理操纵;思维; 心理操纵; 攻击者; 社会工程学

点击查看答案

53.若一个组织声称自己的 ISMS 符合 ISO/IBC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常在以下方面实施常规控制,不包括哪一项 ()

A. 　信息安全方针、信息安全组织、资产管理

B. 　人力资源安全、物理和环境安全、通信和操作管理

C. 　访问控制、信息系统获取、开发和维护、符合性

D. 　规划与建立 ISMS

解析：解析:P103-128 页。

点击查看答案

100.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?

A. 　DSS

B. 　Diffie-Hellman

C. 　RSA

D. 　AES

解析：解析:DSS 是一种数字签名标准,严格来说不算加密算法;Diffie-Hellman 并不是加密算法,而是一种密钥建立的算法;AES 算法是一种对称密码算法,可以用于数据加密。

点击查看答案

A. 　渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞

B. 　渗透测试是用软件代替人工的一种测试方法,因此测试效率更高

C. 　渗透测试使用人工进行测试,不依赖软件,因此测试更准确

D. 　渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多

解析：解析:a 是渗透测试的优点,渗透测试是模拟攻击的黑盒测试,有利于发现系统明显的问题。

点击查看答案

97.以下关于开展软件安全开发必要性描错误的是?()

A. 　软件应用越来越广泛

B. 　软件应用场景越来越不安全

C. 　软件安全问题普遍存在

D. 　以上都不是

解析：解析:ABC 实际上都是软件安全开发的必要性

类似热门题库

HCNA-Security知识练习复习题库

大学信息技术基础_复习资料

网上培训练习题库

网络理论测试答案