信息安全工程师

信息安全工程师每日一练（2016/1）0/28第题：关于入侵检测系统（），下面说法不正确的是（）。A的主要功能是对计算机和网络资源上的恶意使用行为进行识别和响应B需要配合安全审计系统才能应用，后者为前者提供审计分析资料c主要用于检测来自外部的入侵行为D可用于发现合法用户是否滥用特权参考答案：第2题：下列选项中，防范网络监听最有效的方法是（）。A安装防火墙、采用无线网络传输、数据加密、漏洞扫描参考答案：第3题：计算机网络系统中，入侵检测一般分为3个步骤，依次为（）。①数据分析②响应③信息收集A③①②、②③①、③②①、②①③参考答案：第4题：管理审计指（）A保证数据接收方收到的信息与发送方发送的信息完全一致B防止因数据被截获而造成的泄密c对用户和程序使用资源的情况进行记录和审查D保证信息使用者都可参考答案：第题：美国国防部公布了可信计算机系统评估准则（）t并根据所采用的安全策略、系统所具备的安全功能将系统分为几类几个安全级别？（）A三类七级、四类七级、四类六级参考答案：第6题：信息的存在及传播方式（）A存在于计算机、磁带、纸张等介质中、记忆在人的大脑里、通过网络打印机复印机等方式进行传播、通过投影仪显示参考答案：第7题：一个组织的网络设备的资产价值为1000元0，0一场意外火灾使其损坏了价值的按照经验统计，这种火灾一般每年发生一次，年预期损失为（）元元元元参考答案：第8题：以下哪个一项数据传输方式难以通过网络窃听获取信息？（）传输文件进行远程管理以开头的网页内容经过认证和授权后建立的链接参考答案：、第9题：下列关于防火墙的主要功能包括:（）A访问控制、内容控制、数据加密、查杀病毒参考答案：第10题：根据《计算机信息系统国际联网保密管理规定》，保密审核实行部门管理，有关单位应当根据国家保密法规，建立健全上网信息保密审批（）。A领导责任制、专人负责制、民主集中制、职能部门监管责任制第1题：某公司接到通知，上级领导要在下午对该公司机房进行安全检查，为此公司做了如下安排：①了解检查组人员数量及姓名，为其准备访客证件②安排专人陪同检查人员对机房安全进行检查③为了体现检查的公正，下午为领导安排了一个小时的自由查看时间④根据检查要求，在机房内临时设置一处吸烟区，明确规定检查期间机房内其他区域严禁烟火上述安排符合《信息安全技术信息系统安全管理要求》的做法是（）。TOC\o"1-5"\h\z.③④.②③.①②.②④参考答案：第2题：以下各种加密算法属于双钥制加密算法的是（）。、、、、参考答案：第3题：对程序源代码进行访问控制管理时，以下那种做法是错误的？（）、．若有可能，在实际生产系统中不保留源程序库。、对源程序库的访问进行严格的审计C技术支持人员应可以不受限制的访问源程序、对源程序库的拷贝应受到严格的控制规程的制约参考答案：第题：以下哪一项不是服务器支持的访问控制过滤类型？（）、网络地址访问控制②服务器许可、许可②异常行为过滤参考答案：第5题：在进行应用系统的的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生产系统中的数据，如果需要使用时。以下哪一项不是必须做的：、、测试系统应使用不低于生产关系的访问控制措施②为测试系统中的数据部署完善的备份与恢复措施、、在测试完成后立即清除测试系统中的所有敏感数据②部署审计措施，记录生产数据的拷贝和使用参考答案：第6题：某同学的以下行为中不属于侵犯知识产权的是（）。、把自己从音像店购买的《美妙生活》原版转录，然后传给同学试听②将购买的正版游戏上网到网盘中，供网友下载使用、、下载了网络上的一个具有试用期限的软件，安装使用②把从微软公司购买的原版系统光盘复制了一份备份，并提供给同学参考答案：、第7题：目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多门，《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?（）公安部国家保密局工信部国家密码管理委员会办公室参考答案：第8题：以下哪些是需要在信息安全策略中进行描述的：（、）、组织信息系统安全架构、信息安全工作的基本原则、组织信息安全技术参数②组织信息安全实施手段第9题：某银行信息系统为了满足业务发展的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分折过程需要考虑的主要因素?（）、信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准、信息系统所承载该银行业务正常运行的安全需求C消除或降低该银行信息系统面临的所有安全风险D该银行整体安全策略参考答案：第10题：下列关于信息系统生命周期中安全需求说法不准确的是：（）A明确安全总体方针，确保安全总体方针源自业务期望B描述所涉及系统的安全现状，提交明确的安全需求文档c向相关组织和领导人宣贯风险评估准则D对系统规划中安全实现的可能性进行充分分析和论证参考答案：第1题：集中监控是集监_控_于_一身监控系统（）A邮件单位内部上网情况网络运行状态B网页单位内部上网情况网络运行状态c专项网吧网络运行状态参考答案：邮第2题：将获得的信息再次发送以产生非授权效果的攻击为（）。,伪装.消息修改.重放.拒绝服务参考答案：第题：关于下的用户和组，以下描述不正确的是O。，在中，每一个文件和程序都归属于一个特定的“用户”.系统中的每一个用户都必须至少属于一个用户组.用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组,是系统的超级用户，无论是否文件和程序的所有者都具有访问权限参考答案：第4题：以下哪一项不属于信息安全工程监理模型的组成部分：（），监理咨询支撑要素.控制和管理手段.监理咨询阶段过程.监理组织安全实施参考答案：件第题：实施内审时，确定的控制目标、控制措施、过程和程序应该要符合相关要求，以下哪个不是？（）A约定的标准及相关法律的要求、EB别的安全需求c控制措施有效实施和维护、风险评估方法参考答案：件第题：以下关于内部审核报告的描述不正确的是？（）A内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果B内审报告中必须包含对不符合性项的改进建议c内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商，核实报告内容。D内审报告中必须包括对纠正预防措施实施情况的跟踪第7题：为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？()进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码进行离职谈话，禁止员工账号，更改密码让员工签署跨边界协议列出员工在解聘前需要注意的所有责任参考答案：第8题：应急响应计划应该多久测试一次？()年当基础环境或设施发生变化时年当组织内业务发生重大的变更时参考答案：第9题：201年4，互联网上爆出近几十万123网0站6的用户信息，123官0方6网站称是通过()方式泄露的。、拖库、撞库、木马、信息明文存储参考答案：当第题：下面对于保证过程的说法错误的是()A保证是指安全需求得到满足的可信任程度当、信任程度来自于对安全工程过程结果质量的判断c自验证与证实安全的主要手段包括观察、论证、分析和测试D“建立保证论据”为“验证与证实安全提供了证据支持参考答案：试题1：()不是对称加密算法的优点。A加解密速度快、密钥管理简单、加密算法复杂、加密强度高D适宜一对一的信息加密传输过程试题参考答案：加试题2：等级保护五级的安全功能要素增加了()A数据完整性、当信恢复、强制访问控制、标记参考答案：当试题3：计算机病毒是()A计算机程序、数据、临时文件、应用软件参考答案：试题4：信息系统建设完成后，()的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用。.二级以上.三级以上.四级以上.五级以上参考答案：当试题5：评估业务连续计划效果最好的方法是：()使用适当的标准进行规划和比较之前的测试结果加进紧急预案和员工培训环境控制和存应储进站点参考答案：当试题6：下面哪个功能属于操作系统中的安全功能(加)控制用户的作业排序和运行当进对计算机用户访问系统和资源情况进行记录保护系统程序和作业，禁止不合要求的对程序和数据的访问实现主机和外设的并行处理以及异常情况的处理试题7：下面哪一个不是对点击劫持的描述（）是一种恶意攻击技术，用于跟踪网络用户并获取私密信息通过让用户来点击看似正常的网页来远程控制其电脑是以用嵌入代码或文本的形式出现，在用户毫不知情的情况下完成攻击是以对方网络瘫痪参考答案：试题8操作系统从哪个版本开始引入安全中心的概念A、WinNT、SWP6in20B00、SWiPn4XPC、SPW2in20D03SP1参考答案：试题9：以下对信息安全管理体系说法不正确的是：（）A基于国际标准B它是综合信息安全管理和技术手段，保障组织信息安全的一种方法c它是管理体系家族的一个成员D基于国际标准参考答案：试题10：下面哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？（）A强制访问控制（）、集中式访问控制（）c分布式访问控制（）、自主访问控制（）参考答案：试题1：目前在网络上流行的“熊猫烧香”病毒属于（）类型的病毒。A目录、引导区、蠕虫、参考答案：试题2下列一字符中，哪一个与其他的不同A、0xc00x、F、0xF00x、800x、Fc、0xF00x800x80、00xxF、8F0x800x、800x80参考答案：、试题3：下面哪一项不是安全编程的原则（）尽可能使用高级语言进行编程、是尽可能让程序只实现需要的功能不要信任用户输入的数据、是尽可能考虑到意外的情况，并设计妥善的处理方法参考答案：试题4是以位分组来处理输入的信息，每一分组又被划分为（）位子分组。A个、个、个、个参考答案：试题：一封电子邮件可以拆分成多个包，每个包可以沿不同的路径到达目的地。（）、对、错试题参考答案：试题6黑色星期四是因有人通过实验室与连接的有漏洞的机器上放置了一个蠕虫程序而引起网络灾难得名的B、是、不是试题7：为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（）信息安全需求是安全方案设计和安全措施实施的依据信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到信息安全需求来自于该公众服务信息系统的功能设计方案参考答案：试题8：以下对信息安全管理的描述错误的是保密性、完整性、可用性抗抵赖性、可追溯性真实性私密性可靠性增值性参考答案：试题9：企业从获得良好的信息安全管控水平的角度出发，以下哪些行为是适当的（）只关注外来的威胁，忽视企业内部人员的问题相信来自陌生人的邮件，好奇打开邮件附件开着电脑离开，就像离开家却忘记关灯那样及时更新系统和安装系统和应用的补丁参考答案：试题10：哪一项不是管理层承诺完成的？（）信定组织的总体安全目标购买性能良好的信息安全产品推动安全意识教育评审安全策略的有效性参考答案：试题11：以下哪些不是介质类资产：（）纸质文档存储介质软件介质凭证参考答案：试题12：恢复阶段的行动一般包括（）建立临时业务处理能力修复原系统损害在原系统或新设施中恢复运行业务能力避免造成更大损失参考答案：试题13：下列哪一项最好地支持了24/可7用性？（）日常备份离线存储镜像定期测试参考答案：试题4以下哪个命令可以查看端口对应的D-参考答案：试题5风险评估的基本过程是怎样的？（）A识别并评估重要的信息资产，识别各种可能的威胁和严重的弱点，最终确定风险存、通过以往发生的信息安全事件，找到风险所在C风险评估就是对照安全检查单，查看相关的管理和技术措施是否到位D风险评估并没有规律可循，完全取决于评估者的经验所在试题16：如果可以在组织范围定义文档化的标准过程，在所有的项目规划、执行和跟踪已定义的过程，并且可以很好地协调项目活动和组织活动，则组织的安全能力成熟度可以达到？（）A规划跟踪定义、充分定义级、量化控制级、持续改进级参考答案：试题17：使用不同的密钥进地加解密，这样的加密算法叫（。）A对称式加密算法、非对称式加密算法、、算法参考答案：试题：网络管理员定义“”以减轻下面哪种攻击？A．Diecas．tSmurfB．BatcCas．tCokeD参考答案：试题19：根据灾难恢复演练的深度不同，可以将演练分为三个级别，这三个级别按演练深度由低到高的排序正确的是?（）A系统级演练、业务级演练、应用级演练B系统级演练、应用级演练、业务级演练c业务级演练、应用级演练、系统级演练D业务级演练、系统级演练、应用级演练参考答案：试题20：以下哪一项不属于恶意代码？（）病毒蠕虫宏特洛伊木马参考答案：第1题：从统计的资料看，内部攻击是网络攻击的（）A次要攻击、最主要攻击、不是攻击源第题：是由以下哪个标准转化而来的？A、、M橘皮书第3题：张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击?（）A口令攻击、暴力破解、拒绝服务攻击、社会工程学攻击第4题：为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征。A统一而精确地的时间、全面覆盖系统资产c包括访问源、访问目标和访问活动等重要信息D可以让系统的所有用户方便的读取第5题：防止擅自使用资料档案的最有效的预防方法是:（）A自动化的档案访问入口、磁带库管理、使用访问控制软件、锁定资料馆第题，模型基于两种规则来保