APP下载

首页

IT互联网

注册信息安全专业人员试题

搜索

注册信息安全专业人员试题

题目内容

(

单选题

)

65.《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)中关于信息系统生命周期各阶段的风险评估描述不正确的是:

A、　规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等

B、　设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求

C、　实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证

D、　运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面

答案：D

解析：解析:该题目来源于《信息安全技术信息安全风险评估规范》(GB/T 20984-2007),评估内容包括威胁、脆弱性和影响。

注册信息安全专业人员试题

79.随着即时通讯软件的普及使用,即时通讯软件也被恶意代码利用进行传播,以下哪项功能不是恶意代码利用即时通讯进行传播的方式 ( )

点击查看题目

43.Gary McGraw 博士及其合作者提出软件安全应由三根支柱来支撑, 这三个支柱是( ) 。

点击查看题目

73.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是:

点击查看题目

58.国务院信息化工作办公室于 2004 年 7 月份下发了《关于做好重要信息系统灾难备份工作的通知》,该文件中指出了我国在灾备工作原则,下面哪项不属于该工作原则( )

点击查看题目

93.某 linux 系统由于 root 口令过于简单,被攻击者猜解后获得了 root 口令,发现被攻击后,管理员更改了 root 口令,并请安全专家对系统进行检测,在系统中发现有一个文件的权限如下 -r-s--x--x 1 test tdst 10704 apr 15 2002/home/test/sh 请问以下描述哪个是正确的:

点击查看题目

70.某公司在讨论如何确认已有的安全措施,对于确认已有这全措施,下列选项中近期内述不正确的是( )

点击查看题目

53.2005 年,RFC4301(Request for Comments 4301:Security Architecture for theInternet Protocol)发布,用以取代原先的 RFC2401,该标准建议规定了 IPsec 系统基础架构,描述如何在 IP 层(IPv4/IPv6)位流量提供安全业务。请问此类 RFC 系列标准建议是由下面哪个组织发布的()。

点击查看题目

46.关于 Kerberos 认证协议,以下说法错误的是:

点击查看题目

24.常见密码系统包含的元素是:

点击查看题目

40.实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高,常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图,小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的()

题目内容

(

单选题

)

手机预览

注册信息安全专业人员试题

65.《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)中关于信息系统生命周期各阶段的风险评估描述不正确的是:

A、　规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等

B、　设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求

C、　实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证

答案：D

解析：解析:该题目来源于《信息安全技术信息安全风险评估规范》(GB/T 20984-2007),评估内容包括威胁、脆弱性和影响。

相关题目

79.随着即时通讯软件的普及使用,即时通讯软件也被恶意代码利用进行传播,以下哪项功能不是恶意代码利用即时通讯进行传播的方式 ( )

A. 　利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件

B. 　利用即时通讯软件发送指向恶意网页的 URL

C. 　利用即时通讯软件发送指向恶意地址的二维码

D. 　利用即时通讯发送携带恶意代码的 txt文档

解析：解析:D 项 txt文档不可被执行,所以不是可被利用的传播方式。

点击查看答案

43.Gary McGraw 博士及其合作者提出软件安全应由三根支柱来支撑, 这三个支柱是( ) 。

A. 　威胁建模、源代码审核和模糊测试

B. 　应用风险管理、软件安全接触点和安全知识

C. 　威胁建模、渗透测试和软件安全接触点

D. 　源代码审核、风险分析和渗透测试

解析：解析:BSI 认为软件安全有 3 根支柱:风险管理、软件安全接触点和安全知识, 其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。P403页。

点击查看答案

73.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是:

A. 　确保采购定制的设备、软件和其他系统组件满足已定义的安全要求

B. 　确保整个系统已按照领导要求进行了部署和配置

C. 　确保系统使用人员已具备使用系统安全功能和安全特性的能力

D. 　确保信息系统的使用已得到授权

解析：解析:B 是错误的,不是按照领导要求进行了部署和配置。

点击查看答案

A. 　统筹规划

B. 　分组建设

C. 　资源共享

D. 　平战结合

解析：解析:灾备工作原则包括统筹规划、资源共享、平战结合。

点击查看答案

A. 　该文件是一个正常文件,test 用户使用的 shell,test 不能读该文件,只能执行

B. 　该文件是一个正常文件,是 test 用户使用的 shell,但 test 用户无权执行该文件

C. 　该文件是一个后门程序,该文件被执行时,运行身份是 root ,test 用户间接获得了 root权限

D. 　该文件是一个后门程序,由于所有者是 test,因此运行这个文件时文件执行权限为 test

点击查看答案

70.某公司在讨论如何确认已有的安全措施,对于确认已有这全措施,下列选项中近期内述不正确的是( )

A. 　对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施

B. 　安全措施主要有预防性、检测性和纠正性三种

C. 　安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁

D. 　对确认为不适当的安全措施可以置不顾

解析：解析:常识性错误。

点击查看答案

A. 　国际标准化组织(International Organization for Standardization,ISO)

B. 　国际电工委员会(International Electrotechnical Commission,IEC)

C. 　国际电信联盟远程通信标准化组织(ITU Telecommunication Standardization Secctor,ITU-T)

D. 　Internet 工程任务组(Internet Engineering Task Force,IETF)

点击查看答案

46.关于 Kerberos 认证协议,以下说法错误的是:

A. 　只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该 TGT 没有过期,就可以使用该 TGT 通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码

B. 　认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于 AS 和 TGS 的性能和安全

C. 　该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证

D. 　该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂

解析：解析:Kerberos 由 MIT 于 1988 年开发,用于分布式环境中,完成服务器与用户之间的相互认证。

点击查看答案

24.常见密码系统包含的元素是:

A. 　明文,密文,信道,加密算法,解密算法

B. 　明文,摘要,信道,加密算法,解密算法

C. 　明文,密文,密钥,加密算法,解密算法

D. 　消息,密文,信道,加密算法,解密算法

点击查看答案

A. 　实体所知的鉴别方法

B. 　实体所有的鉴别方法

C. 　实体特征的鉴别方法

D. 　实体所见的鉴别方法

类似热门题库

HCNA-Security知识练习复习题库

大学信息技术基础_复习资料

网上培训练习题库

网络理论测试答案

65.《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)中关于信息系统生命周期各阶段的风险评估描述不正确的是:

65.《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)中关于信息系统生命周期各阶段的风险评估描述不正确的是: