APP下载

IT互联网

注册信息安全专业人员试题

搜索

注册信息安全专业人员试题

题目内容

(

单选题

)

53.以下关于信息安全法治建设的意义,说法错误的是:

A、　信息安全法律环境是信息安全保障体系中的必要环节

B、　明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动

C、　信息安全主要是技术问题,技术漏洞是信息犯罪的根源

D、　信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系

答案：C

解析：解析:信息安全问题是多方面存在的,不能认为主要为技术问题,同时技术漏洞不是犯罪的根源所在。

注册信息安全专业人员试题

88.风险处理是依据(),选择和实施合适的安全措施。风险处理的目的是为了将()始终控制在可接爱的范围内。风险处理的方式主要有()、()、()和()四种方式。

点击查看题目

9.在 PDR 模型的基础上,发展成为了( )模型,即策略-保护-检测-响应。模型的核心是:所有的防护、检测、响应都是依据安全策略实施的。在 PPDR 模型中,策略指的是信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。策略体系的建立包括安全策略的制定、()等;防护指的是通过部署和采用安全技术来提高网络的防护能力,如()、防火墙、入侵检测、加密技术、身份认证等技术;检测指的是利用信息安全检测工具,监视、分析、审计网络活动,了解判断网络系统的()。检测这一环节,使安全防护从被动防护演进到主动防御,是整个模型动态性的体现,主要方法包括;实时监控、检测、报警等;响应指的是在检测到安全漏洞和安全事件,通过及时的响应措施将网络系统的()调整到风险最低的状态,包括恢复系统功能和数据,启动备份系统等。启动备份系统等。其主要方法包括:关闭服务、跟踪、反击、消除影响等。

点击查看题目

97.以下关于开展软件安全开发必要性描错误的是?()

点击查看题目

100.风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档,其中,明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据的文档是 ()

点击查看题目

86.从 SABSA 的发展过程,可以看出整个 SABSA 在安全架构中的生命周期(如下图所示) ,在此 SABSA 生命周期中,前两个阶段的过程被归类为所谓的 ( ) ,其次是 ( ) ,它包含了建筑设计中的 ( ) 、物理设计、组件设计和服务管理设计,再者就是 ( ) ,紧随其后的则是 ( )战略与规划管理与衡量实施

点击查看题目

66.对信息安全风险评估要素理解正确的是:

点击查看题目

6.以下列出了 mac 和散列函数的相似性,哪一项说法是错误的?

点击查看题目

45.下列信息安全评估标准中,哪一个是我国信息安全评估的国家标准?()

点击查看题目

33.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。 STRIDE是微软 SDL 中提出的威胁建模方法,将威胁分为六类, 为每一类威胁提供了标准的消减措施, Spoofing 是 STRIDE 中欺骗类的威胁, 以下威胁中哪个可以归入此类威胁( )

点击查看题目

77.某公司正在进行 IT 系统灾难恢复测试,下列问题中哪个最应该引起关注()

题目内容

(

单选题

)

手机预览

注册信息安全专业人员试题

53.以下关于信息安全法治建设的意义,说法错误的是:

A、　信息安全法律环境是信息安全保障体系中的必要环节

B、　明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动

C、　信息安全主要是技术问题,技术漏洞是信息犯罪的根源

D、　信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系

答案：C

解析：解析:信息安全问题是多方面存在的,不能认为主要为技术问题,同时技术漏洞不是犯罪的根源所在。

相关题目

A. 　风险;风险评估的结果;降低;规避;转移;接受

B. 　风险评估的结果;风险;降低;规避;转移;接受

C. 　风险评估;风险;降低;规避;转移;接受

D. 　风险;风险评估;降低;规避;转移;接受

点击查看答案

A. 　评估与执行;访问控制;安全状态;安全性

B. 　评估与执行;安全状态;访问控制;安全性

C. 　访问控制;评估与执行;安全状态;安全性

D. 　安全状态,评估与执行;访问控制;安全性

点击查看答案

97.以下关于开展软件安全开发必要性描错误的是?()

A. 　软件应用越来越广泛

B. 　软件应用场景越来越不安全

C. 　软件安全问题普遍存在

D. 　以上都不是

解析：解析:ABC 实际上都是软件安全开发的必要性

点击查看答案

A. 　《风险评估方案》

B. 　《风险评估程序》

C. 　《资产识别清单》

D. 　《风险评估报告》

解析：解析:P260 页

点击查看答案

A. 　设计;战略与规划;逻辑设计;实施;管理与衡量

B. 　战略与规划;逻辑设计;设计;实施;管理与衡量

C. 　战略与规划;实施;设计;逻辑设计;管理与衡量

D. 　战略与规划;设计;逻辑设计;实施;管理与衡量

解析：解析:P42

点击查看答案

66.对信息安全风险评估要素理解正确的是:

A. 　资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构

B. 　应针对构成信息系统的每个资产做风险评价

C. 　脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项

D. 　信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁

解析：解析:B 错误,应该是抽样评估;C 错误,应该其描述的是差距分析;D 错误,应该是威胁包括人为威胁和环境威胁。

点击查看答案

6.以下列出了 mac 和散列函数的相似性,哪一项说法是错误的?

A. 　MAC 和散列函数都是用于提供消息认证

B. 　MAC 的输出值不是固定长度的,而散列函数的输出值是固定长度的

C. 　MAC 和散列函数都不需要密钥

D. 　MAC 和散列函数都不属于非对称加密算法

解析：解析:(1)MAC:消息验证、完整性校验、抗重放攻击;输出不固定的;MAC 需密钥;不是非对称。(2)哈希:消息验证、完整性校验;输出是固定的;不需要密钥;不是非对称。

点击查看答案

45.下列信息安全评估标准中,哪一个是我国信息安全评估的国家标准?()

A. 　TCSEC 标准

B. 　CC 标准

C. 　FC 标准

D. 　ITSEC 标准

解析：解析:TCSEC 标准(可信计算机系统评估标准)是美国政府国防部标准,为评估计算机系统内置的计算机安全功能的有效性设定了基本要求,在 2005 年最初被公布的国际标准《通用准则(CC)》所取代,《信息技术安全性评估准则》是我国在 2008 年等同采用《ISO/IEC15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336。标准定义了作为评估信息技术产品和系统安全特性的基础准则,由于历史和连续性的原因,仍叫通用准则(Common Criteria,CC);FC 上美国 1991 年制定了一个《联邦(最低安全要求)评估准则》,但由于其不完备性,未能推行;ITSEC(InformationTechnology Security Evaluation Criteria,信息技术安全评估标准)是评估产品和系统中计算机安全性的一套结构化的标准。于 1990 年 5 月首先在法国,德国,荷兰和英国出版,后来主要在一些欧洲国家使用。

点击查看答案

A. 　网站竞争对手可能雇佣攻击者实施 DDoS 攻击,降低网站访问速度

B. 　网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息

C. 　网站使用使用 http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改

D. 　网站使用使用 http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等

解析：解析:A属于拒绝服务威胁; C属于篡改威胁; D属于信息泄露威胁。 P405页。

点击查看答案

77.某公司正在进行 IT 系统灾难恢复测试,下列问题中哪个最应该引起关注()

A. 　由于有限的测试时间窗,仅仅测试了最必须的系统,其他系统在今年的剩余时间里陆续单独测试

B. 　在测试的过程中,有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败

C. 　在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D. 　每年都是由相同的员工执行此测试,由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难恢复计划(DRP)文档