« 返回题库列表2026最新CISP认证考试历年真题汇总|题库下载+考试大纲解析
问题 #1
以下属于哪一种认证实现方式:用户登录时,认证服务器(Authentication Server,AS)产生一个随机数发送给用户,用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令,并发送给AS,AS 用同样的方法计算后,验证比较两个口令即可验证用户身份。
问题 #2
在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:
问题 #3
以下哪个属性不会出现在防火墙的访问控制策略配置中?
问题 #4
某linux 系统由于root 口令过于简单,被攻击者猜解后获得了root 口令,发现被攻击后,管理员更改了root 口令,并请安全专家对系统进行检测,在系统中发现有一个文件的权限如下-r-s--x--x 1 test tdst 10704 apr 15 2002/home/test/sh 请问以下描述哪个是正确的:
A. 该文件是一个正常文件,test 用户使用的shell,test 不能读该文件,只能执行
B. 该文件是一个正常文件,是test 用户使用的shell,但test 用户无权执行该文件
问题 #5
某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的IP 地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是:
A. 网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题
B. 网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题
问题 #6
某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1 算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则:
问题 #7
以下关于威胁建模流程步骤说法不正确的是
A. 威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁
B. 评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险
问题 #8
为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是
A. 由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
B. 渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
问题 #9
有关能力成熟度模型(CMM)错误的理解是
A. CMM 的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率
B. CMM 的思想来源于项目管理和质量管理
问题 #10
提高阿帕奇系统(Apache HTTP Server)系统安全性时,下面哪项措施不属于安全配置()?
A. 不在Windows 下安装Apache,只在Linux 和Unix 下安装
B. 安装Apache 时,只安装需要的组件模块
问题 #11
某公司开发了一个游戏网站,但是由于网站软件存在漏洞,在网络中传输大数据包时总是会丢失一些数据,如一次性传输大于2000 个字节数据时,总是会有3 到5 个字节不能传送到对方,关于此案例,可以推断的是()
问题 #12
信息安全保障是网络时代各国维护国家安全和利益的首要任务,以下哪个国家最早将网络安全上长升为国家安全战略,并制定相关战略计划。
问题 #13
我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法错误的是()
问题 #14
为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是()
问题 #15
对系统工程(Systems Engineering,SE)的理解,以下错误的是:
A. 系统工程偏重于对工程的组织与经营管理进行研究
B. 系统工程不属于技术实现,而是一种方法论
问题 #16
关于我国信息安全保障的基本原则,下列说法中不正确的是:
A. 要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行做法,坚持管理与技术并重
B. 信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方
问题 #17
2005 年,RFC4301(Request for Comments 4301:Security Architecture for the Internet Protocol)发布,用以取代原先的RFC2401,该标准建议规定了IPsec 系统基础架构,描述如何在IP 层(IPv4/IPv6)位流量提供安全业务。请问此类RFC 系列标准建议是由下面哪个组织发布的()。
A. 国际标准化组织(International Organization for Standardization,ISO)
B. 国际电工委员会(International Electrotechnical Commission,IEC)
问题 #18
GB/T 18336《信息技术安全性评估准则》是测评标准类中的重要标准,该标准定义了保护轮廊(Protection Profile,PP)和安全目标(Security Target,ST)的评估准则,提出了评估保证级(Evaluation Assurance Level,EAL),其评估保证级共分为()个递增的评估保证等级。
问题 #19
应急响应是信息安全事件管理的重要内容之一。关于应急响应工作,下面描述错误的是()。
A. 信息安全应急响应,通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施。即包括预防性措施,也包括事件发生后的应对措施
B. 应急响应工作有其鲜明的特点:具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性,以及需要广泛的协调与合作
问题 #20
PDCERF 方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。其中,主要执行如下工作应在哪一个阶段:关闭信息系统、和/或修改防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登录账号等()
问题 #21
在网络信息系统中对用户进行认证识别时,口令是一种传统但仍然使用广泛的方法,口令认证过程中常常使用静态口令和动态口令。下面找描述中错误的是()
A. 所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的口令都是固定、静止不变的
B. 使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块
问题 #22
“统一威胁管理”是将防病毒,入侵检测和防火墙等安全需求统一管理,目前市场上已经出现了多种此类安全设备,这里“统一威胁管理”常常被简称为()
问题 #23
某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力,更有效地保护了网络资源,提高了防御体系级别。但入侵检测技术不能实现以下哪种功能()。
A. 检测并分析用户和系统的活动
B. 核查系统的配置漏洞,评估系统关键资源和数据文件的完整性
问题 #24
Gary McGraw 博士及其合作者提出软件安全BSI 模型应由三根支柱来支撑,这三个支柱是()。
A. 源代码审核、风险分析和渗透测试
B. 风险管理、安全接触点和安全知识
问题 #25
以下哪一项不是常见威胁对应的消减措施:
A. 假冒攻击可以采用身份认证机制来防范
B. 为了防止传输的信息被篡改,收发双方可以使用单向Hash 函数来验证数据的完整性
问题 #26
以下关于模糊测试过程的说法正确的是:
A. 模糊测试的效果与覆盖能力,与输入样本选择不相关
B. 为保障安全测试的效果和自动化过程,关键是将发现异常进行现场保护记录,系统可能无法恢复异常状态进行后续的测试
问题 #27
国务院信息化工作办公室于2004 年7 月份下发了《关于做好重要信息系统灾难备份工作的通知》,该文件中指出了我国在灾备工作原则,下面哪项不属于该工作原则()
问题 #28
关于信息安全管理体系(Information Security Management Systems,ISMS),下面描述错误的是()。
A. 信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系,包括组织架构、方针、活动、职责及相关实践要素
B. 管理体系(Management Systems)是为达到组织目标的策略、程序、指南和相关资源的框架,信息安全管理体系是管理体系思想和方法在信息安全领域的应用
问题 #29
二十世纪二十年代,德国发明家亚瑟谢尔比乌斯发明了Engmia 密码机,按照密码学发展历史阶段划分,这个阶段属于()
问题 #30
小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机房的总价值为400 万元人民币,暴露系数是25%,年度发生率为0.2,那么小王计算的年度预期损失应该是()
问题 #31
小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理风险,请问这种风险处置的方法是()
问题 #32
关于信息安全事件和应急响应的描述不正确的是()
问题 #33
目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评,关于信息安全产品测评的意义,下列说法中不正确的是()
问题 #34
若一个组织声称自己的ISMS 符合ISO/TEC27001 或GB22080 标准要求,其信息安全控制措施通常在以下方面实施常规控制,不包括哪一项()
问题 #35
信息安全事件和分类方法有多种,依据GB/Z 20986-2007《信息安全技术自信安全事件分类分级指南》,信息安全事件分为7 个基本类别,描述正确的是()
问题 #36
王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他使用了Nessus 工具来扫描和发现数据库服务器的漏洞,根据风险管理的相关理论,他这个是扫描活动属于下面哪一个阶段的工作()
问题 #37
某集团公司信息安全管理员根据领导安排制定了一下年度的培训工作计划、提出了四大培训任务目标,关于这四个培训任务和目标,作为主管领导,以下选项中正确的是()
问题 #38
应急响应是信息安全事件管理的重要内容。基于应急响应工作的特点和事件的不规则性,事先创定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生成是在混乱状态中迅速恢复控制,将损失和负面影响降到最低。应急响应方法和过程并不是唯一的。一种被广为接受的应急响应方法是将应急响应管理过程分为6 个阶段,为准备→检测→遏制-,根除→恢复→跟踪总结。请问下列说法有关于信息安全应急响应管理过程错误的是():
问题 #39
某市环卫局网络建设是当地政府投资的重点项目。总体目标就是用于交换式千兆以太网为主干,超五类双绞线作水平布线,由大型交换机和路由器连通几个主要的工作区域,在各区域建立一个闭路电视监控系统,再把信号通过网络传输到各监控中心,其中对交换机和路由器进行配置是网络安全中的一个不可缺少的步骤,下面对于交换机和路由器的安全配置,操作错误的是()
问题 #40
在某信息系统的设计中,用户登陆过程是这样的:(1)用户通过HTTP 协议访问信息系统;(2)用户在登陆页面输入用户名和口令;(3)信息系统在服务器端检查用户名和密码的正确性,如果正确,则鉴别完成。可以看出,这个鉴别过程属于()。
问题 #42
组织第一次建立业务连续性计划时,最为重要的活动是:
问题 #43
防止非法授权访问数据文件的控制措施,哪项是最佳的方式:
问题 #44
白盒测试的具体优点是:
A. 其检查程序是否可与系统的其他部分一起正常运行
B. 在不知程序内部结构下确保程序的功能性操作有效
问题 #45
为某航空公司的订票系统设计业务连续性计划时,最适用于异地数据转移/备份的方法是:
问题 #46
小陈学习了有关信息安全管理体系的内容后,认为组织建立信息安全管理体系并持续运行,比起简单地实施信息安全管理,有更大的作用,他总结了四个方面的作用,其中总结错误的是()
A. 可以建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B. 可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
问题 #47
随着“互联网”概念的普及,越来越多的新兴住宅小区引入了“智能楼宇”的理念,某物业为提供高档次的服务,防止网络主线路出现故障,保证小区内网络服务的可用,稳定、高效,计划通过网络冗余配置的是()。
问题 #48
小陈自学了风评的相关国家准则后,将风险的公式用图形来表示,下面F1,F2,F3,F4 分别代表某种计算函数,四张图中,那个计算关系正确
问题 #49
在网络信息系统建设中部署防火墙,往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙来保护内网主机,下列选项中部署位置正确的是()
A. 内网主机——交换机——防火墙——外网
B. 防火墙——内网主机——交换机——外网
问题 #50
下列关于软件安全开发中的BSI(Build Security In)系列模型说法错误的是()
问题 #51
访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在Windows2000 以后的操作系统版本中,访问控制是一种双重机制,它对用户的授权基于用户权限和对象许可,通常使用ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中,对windows 操作系统访问控制实现方法的理解错误的是()
问题 #52
在现实的异构网络环境中,越来越多的信息需要实现安全的互操作。即进行跨域信息交换和处理。Kerberos 协议不仅能在域内进行认证,也支持跨域认证,下图显示的是Kerberos 协议实现跨域认证的7 个步骤,其中有几个步骤出现错误,图中错误的描述正确的是:
A. 步骤1 和步骤2 发生错误
B. 步骤3 和步骤4 发生错误
问题 #53
某黑客通过分析和整理某报社记者小张的博客,找到一些有用的信息,通过伪装的新闻线索,诱使其执行木马程序,从而控制了小张的电脑,并以她的电脑为攻击的端口,使报社的局域网全部感染木马病毒,为防范此类社会工程学攻击,报社不需要做的是()
问题 #54
2016 年9 月,一位安全研究人员在Google Cloud IP 上通过扫描,发现了完整的美国路易斯安邦州290 万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、正党代名和密码,以防止攻击者利用以上信息进行()攻击。
问题 #55
下图中描述网络动态安全的P2DR 模型,这个模型经常使用图形的形式来表达的下图空白处应填()
问题 #56
如图所示,主机A 向主机B 发出的数据采用AH 或者ESP 的传输模式对流量进行保护时,主机A 和主机B 的IP 地址在应该在下列哪个范围?
A. 10.0.0.0~10.255.255.255
B. 172.16.0.0~172.31.255.255
C.192. 168.0.0~192.168.255.255
问题 #57
小王是某大学计算机科学与技术专业的学生,最近因为生病缺席了几堂信息安全课程,这几次课的内容是自主访问控制与强制访问控制,为了赶上课程进度,他向同班的小李借来课堂笔记,进行自学。而小李在听课时由于经常走神,所以笔记中会出现一些错误。下列选项是小李笔记中关于强制访问控制模型的内容,其中出现错误的选项是()
问题 #58
下图排序你认为那个是正确的:
A. 1 是主体,2 是客体,3 是实施,4 是决策
B. 1 是客体,2 是主体3 是决策,4 是实施
问题 #59
某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览器定向到旅游网站,旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网络信息(还有他的好友们的信息),于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了,这种向Web 页面插入恶意html 代码的攻击方式称为()
A. 分布式拒绝服务攻击 B、跨站脚本攻击 C、SQL 注入攻击 D、缓冲区溢出攻击
问题 #60
模糊测试,也称Fuzz 测试是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下面描述正确的是()
问题 #61
若一个组织声称自己的ISMS 符合ISO/IEC 27001 或GB/T22080 标准要求,其信息安全控制措施通常需要在人力资源安全方面实施常规控制,人力资源安全划分为3 个控制阶段,不包括哪一项()
问题 #62
下图是安全测试人员连接某远程主机时的操作界面,请您仔细分析该图,下面分析推理正确的是()
A. 安全测试人员链接了远程服务器的220 端口
B. 安全测试人员的本地操作系统是Linux
问题 #63
某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权,该后门程序为了达到长期驻留在受害者的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动为防范此类木马的攻击,以下做法无用的是()
问题 #64
小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的RPO(恢复点目标)指标为3 小时。请问这意味着()
问题 #65
陈工学习了信息安全风险的有关知识,了解到信息安全风险的构成过程,有五个方面:起源、方式、途径、受体和后果,他画了下面这张图来描述信息安全风险的构成过程,图中空白处应填写?
问题 #66
Kerberos 协议是一种集中访问控制协议,他能在复杂的网络环境中,为用户提供安全的单点登录服务。单点登录是指用户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不在需要其他的认证过程,实质是消息M 在多个应用系统之间的传递或共享。其中消息M 是指以下选项中的()
问题 #67
若一个组织声称自己的ISMS 符合ISO/IEC 27001 或GB/T22080 标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项
A. 物理安全边界、物理入口控制
B. 办公室、房间和设施的安全保护。外部和环境威胁的安全防护
问题 #68
风险分析师风险评估工作的一个重要内容,GB/T 20984-2007 在资料性附录中给出了一种矩阵法来计算信息安全风险大小,如下图所示,图中括号应填那个?
A. 安全资产价值大小等级
B. 脆弱性严重程度等级
问题 #69
关于信息安全管理体系的作用,下面理解错误的是
A. 对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有据可查
B. 对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方法收入来弥补投入
问题 #70
关于补丁安装时应注意的问题,以下说法正确的是
A. 在补丁安装部署之前不需要进行测试,因为补丁发布之前厂商已经经过了测试
B. 补丁的获取有严格的标准,必须在厂商的官网上获取
问题 #71
某电子商务网站架构设计时,为了避免数据误操作,在管理员进行订单删除时,需要由审核员进行审核后该删除操作才能生效,这种设计是遵循了发下哪个原则
问题 #72
实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高,常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图,小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的()
问题 #73
定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可以性和损失量。小王采用该方法来为单位机房计算火灾风险大小,假设单位机房的总价值为200 万元人民币,暴露系数(ExposureFactor,EF)是x,年度发生率(Annual izod Eato of Occurrence,ARO)为0.1,而小王计算的年度预期损失(Annual izod Loss Erpectancy,ALE)值为5 万元人民币,由此,x 值应该是
问题 #74
关于Kerberos 认证协议,以下说法错误的是:
A. 只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该TGT 没有过期,就可以使用该TGT 通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码
B. 认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS 和TGS的性能和安全
问题 #75
kerberos 协议是常用的集中访问控制协议,通过可信第三的认证服务,减轻应用Kerberos 的运行环境由秘钥分发中心(KDC)、应用服务器和客户端三个部分组成,认证服务器AS 和票据授权服务器
问题 #76
某单位系统管理员对组织内核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于以下哪一种:
问题 #77
由于Internet 的安全问题日益突出,基于TCP/IP 协议,相关组织和专家在协议的不同层次设计了相应的安全通信协议,用来保障网络各层次的安全。其中,属于或依附于传输层的安全协议是()
问题 #78
根据Bell-LaPadula 模型安全策略,下图中写和读操作正确的是()
问题 #79
防火墙是网络信息系统建设中常采用的一类产品,它在内外网隔离方面的作用是()。
A. 既能物理隔离,又能逻辑隔离
B. 能物理隔离,但不能逻辑隔离
问题 #80
张主任的计算机使用Windows7 操作系统,他常登陆的用户名为zhang,张主任给他个人文件夹设置了权限为只有zhang 这个用户有权访问这个目录,管理员在某次维护中无意将zhang 这个用户删除了,随后又重新建了一个用户名为zhang,张主任使用zhang 这个用户登录系统后,发现无法访问他原来的个人文件夹,原因是:
A. 任何一个新建用户都需要经过授权才能访问系统中的文件
B. Windows7 不认为新建立的用户zhang 与原来用户zhang 是同一个用户,因此无权访问
问题 #81
以下关于Windows 系统的账号存储管理机制(Security Accounts Manager)的说法哪个是正确的:
A. 存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B. 存储在注册表中的账号数据只有administrator 账户才有权访问,具有较高的安全性
问题 #82
ISO9001-2000 标准在制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求增进顾客满意。下图是关于过程方法的示意图,图中括号空白处应填写()
问题 #83
设计信息系统安全保障方案时,以下哪个做法是错误的:
A. 要充分切合信息安全需求并且实际可行
B. 要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
问题 #84
Windows 文件系统权限管理访问控制列表(Access Control List,ACL)机制,以下哪个说法是错误的:
A. 安装Windows 系统时要确保文件格式使用的是NTFS,因为Windows 的ACL 机制需要NTFS 文件格式的支持
B. 由于Windows 操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows 上的ACL 存在默认设置安全性不高的问题
问题 #85
ISO27002(Information technology-Security techniques0Codeofpratice for inforeation security managcacnt)是重要的信息安全管理标准之一,下图是关于其演进变化示意图,图中括号空白处应填写()
A. BS 7799.1.3
B. ISO 17799
问题 #86
自主访问控制模型(DAC)的访问控制关系可以用访问控制(ACL)来表示,该ACL 利用在客体上附加一个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是()
A. ACL 是Bell-LaPadula 模型的一种具体实现
B. ACL 在删除用户时,去除该用户所有的访问权限比较方便
问题 #87
数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。以下关于数据库常用的安全策略理解不正确的是:
A. 最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作
B. 最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度也共享数据库中的信息
问题 #88
我国标准《信息安全风险管理指南》(GB/Z24364)给出了信息安全风险管理的内容和过程,可以用下图来表示。图中空白处应该填写()
问题 #89
以下哪一项不是信息系统集成项目的特点:
A. 信息系统集成项目要以满足客户和用户的需求为根本出发点
B. 系统集成就是选择最好的产品和技术,开发相应的软件和硬件,将其集成到信息系统的过程
问题 #90
某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是()
A. 检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
B. 检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
问题 #91
为了能够合理、有序地处理安全事件,应事件制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低。PDCERF 方法论是一种防范使用的方法,其将应急响应分成六个阶段,如下图所示,请为图中括号空白处选择合适的内容()
问题 #92
关于信息安全管理,下面理解片面的是()
A. 信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障
B. 信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的
问题 #93
关于风险要素识别阶段工作内容叙述错误的是:
A. 资产识别是指对需要保护的资产和系统等进行识别和分类
B. 威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
问题 #94
某学员在学习国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1-2006)后,绘制了一张简化的信息系统安全保障模型图,如下所示。请为图中括号空白处选择合适的选项()
A. 安全保障(方针和组织)
B. 安全防护(技术和管理)
问题 #95
为了进一步提供信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号),对等级保护工作的开展提供宏观指导和约束,明确了等级保护工作哟的基本内容、工作要求和实施计划,以及各部门工作职责分工等。关于该文件,下面理解正确的是()
A. 该文件是一个由部委发布的政策性文件,不属于法律文件
B. 该文件适用于2004 年的等级保护工作,其内容不能约束到2005 年及之后的工作
问题 #96
在某次信息安全应急响应过程中,小王正在实施如下措施:消除或阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介质等。请问,按照PDCERF 应急响应方法,这些工作应处于以下哪个阶段()
问题 #97
Linux 系统的安全设置中,对文件的权限操作是一项关键操作。通过对文件权限的设置,能够保障不同用户的个人隐私和系统安全。文件fib.c 的文件属性信息如下图所示,小张想要修改其文件权限,为文件主增加执行权限,并删除组外其他用户的写权限,那么以下操作中正确的是()
A. #chmod u+x, a-w fi
B. c
B. #chmod ug+x, o-w fi
B. c
B. c
B. c
问题 #98
关于信息安全事件管理和应急响应,以下说法错误的是:
A. 应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B. 应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6 个阶段
问题 #99
恢复时间目标(RTO)和恢复点目标(RPO)是信息系统灾难恢复中重要概念,关于这两个值能否为零,正确的选项是()
A. RTO 可以为0,RPO 也可以为0
B. RTO 可以为0,RPO 不可以为0
问题 #100
下面有关软件安全问题的描述中,哪项应是由于软件设计缺陷引起的()
A. 设计了三层WEB 架构,但是软件存在SQL 注入漏洞,导致被黑客攻击后直接访问数据库
B. 使用C 语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
问题 #101
通过对称密码算法进行安全消息传输的必要条件是:
A. 在安全的传输信道上进行通信
B. 通讯双方通过某种方式,安全且秘密地共享密钥
闽公网安备 35012102500533号
|
闽ICP备18010967号-7