« 返回题库列表CISP认证考试学习资料免费下载|2026历年真题答案+模拟题解析
问题 #1
某银行有5 台交换机连接了大量交易机构的网路(如图所示),在基于以太网的通信中,计算机A 需要与计算机B 通信,A 必须先广播“ARP 请求信息”,获取计算机B 的物理地址。没到月底时用户发现该银行网络服务速度极其缓慢。银行经调查后发现为了当其中一台交换机收到ARP 请求后,会转发给接收端口以外的其他所有端口,ARP 请求会被转发到网络中的所有客户机上。为降低网络的带宽消耗,将广播流限制在固定区域内,可以采用的技术是()
问题 #2
Windows 系统下,哪项不是有效进行共享安全的防护措施?
A. 使用netshare\127.0.0.1\c$/delete 命令,删除系统中的c$等管理共享,并重启系统
B. 确保所有的共享都有高强度的密码防护
问题 #3
以下对Windows 账号的描述,正确的是:
A. Windows 系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限
B. Windows 系统是采用用户名来标识用户对文件或文件夹的权限
问题 #4
如图一所示:主机A 和主机B 需要通过IPSec 隧道模式保护二者之间的通信流量,这种情况下IPSec 的处理通常发生在哪二个设备中?
A. 主机A 和安全网关1;
B. 主机B 和安全网关2;
问题 #5
以下关于代替密码的说法正确的是:
A. 明文根据密钥被不同的密文字母代替
B. 明文字母不变,仅仅是位置根据密钥发生改变
问题 #6
AES 在抵抗差分密码分析及线性密码分析的能力比DES 更有效,已经替代DES 成为新的据加密标准。其算法的信息块长度和加密密钥是可变的,以下哪一种不是其可能的密钥长度?
问题 #7
以下对Windows 系统的服务描述,正确的是:
A. Windows 服务必须是一个独立的可执行程序
B. Windows 服务的运行不需要用户的交互登陆
问题 #8
为了能够合理、有序地处理安全事件,应事件制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低。PDCERF 方法论是一种防范使用的方法,其将应急响应分成六个阶段,如下图所示,请为图中括号空白处选择合适的内容()
问题 #9
Alice 有一个消息M 通过密钥K2 生成一个密文E(K2,M)然后用K1 生成一个MAC 为C(K1,E(K2,M)),Alice 将密文和MAC 发送给Bob,Bob 用密钥K1 和密文生成一个MAC 并和Alice 的MAC 比较,假如相同再用K2 解密Alice 发送的密文,这个过程可以提供什么安全服务?
问题 #10
以下关于windowsSAM(安全账号管理器)的说法错误的是:
A. 安全账号管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam
B. 安全账号管理器(SAM)存储的账号信息是存储在注册表中
C. 安全账号管理器(SAM)存储的账号信息administrator 和system 是可读和可写的
D. 安全账号管理器(SAM)是windows 的用户数据库系统进程通过Security Accounts Manager 服务进行访问和操作
问题 #11
公钥基础设施,引入数字证书的概念,用来表示用户的身份,下图简要的描述了终端实体(用户),从认证权威机构CA申请、撤销和更新数字证书的流程,请为中间框空白处选择合适的选项()
A. 证书库
B. RA
C. OCSP
D. CRL 库
问题 #12
常见密码系统包含的元素是:
A. 明文,密文,信道,加密算法,解密算法
B. 明文,摘要,信道,加密算法,解密算法
问题 #13
如图所示,主体S 对客体01 有读(R)权限,对客体02 有读(R)、写()权限。该图所示的访问控制实现方法是:
问题 #14
社会工程学定位在计算机信息安全工作链的一个最脆弱的环节,即“人”这个环节上。这些社会工程黑客在某黑客大会上成功攻入世界五百强公司,其中一名自称是CSO 杂志做安全调查,半小时内,攻击者选择了在公司工作两个月安全工程部门的合约雇员,在询问关于工作满意度以及食堂食物质量问题后,雇员开始透露其他信息,包括:操作系统、服务包、杀毒软件、电子邮件及浏览器。为对抗此类信息收集和分析,公司需要做的是()
问题 #15
基于TCP 的主机在进行一次TCP 连接时简要进行三次握手,请求通信的主机A 要与另一台主机B 建立连接时,A 需要先发一个SYN 数据包向B 主机提出连接请示,B 收到后,回复一个ACK/SYN 确认请示给A 主机,然后A 再次回应ACK 数据包,确认连接请求。攻击通过伪造带有虚假源地址的SYN 包给目标主机,使目标主机发送的ACK/SYN 包得不到确认。一般情况下,目标主机会等一段时间后才会放弃这个连接等待。因此大量虚假SYN 包同时发送到目标主机时,目标主机上就会有大量的连接请示等待确认,当这些未释
问题 #16
信息安全是国家安全的重要组成部分,综合研究当前世界各国信息安全保障工作,下面总结错误的是()
问题 #19
Windows 操作系统的注册表运行命令是:
A. Regsvr32
B. Regedit
C.Regedit. msc
D.Regedit. mmc
问题 #20
视窗操作系统(Windows)从哪个版本开始引入安全中心的概念?
A. WinNT SP6
B. Win2000 SP4
问题 #21
DSA(数字签名算法)不提供以下哪种服务?
问题 #22
在Windows 文件系统中,_______支持文件加密。
问题 #23
相比FAT 文件系统,以下那个不是NTFS 所具有的优势?
问题 #24
风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项()。
A. 识别面临的风险并赋值
B. 识别存在的脆弱性并赋值
问题 #25
Windows NT 提供的分布式安全环境又被称为:
问题 #26
在Windows 系统中,管理权限最高的组是:
A. everyone
B. administrators
问题 #27
小李去参加单位组织的信息安全培训后,他把自己对管理信息管理体系ISMS 的理解画了一张图,但是他还存在一个空白处未填写,请帮他选择一个合适的选项()
问题 #28
Windows 系统下,可通过运行_______命令打开Windows 管理控制台。
问题 #29
下图是某单位对其主网站一天流量的监测图,如果该网站当天17:00 到20:00 之间受到攻击,则从图中数据分析,这种攻击可能属于下面什么攻击。
问题 #30
在window 系统中用于显示本机各网络端口详细情况的命令是:
问题 #31
以下哪些问题或概念不是公钥密码体制中经常使用到的困难问题?
问题 #32
如下图所示,Alice 用Bob 的密钥加密明文,将密文发送给Bob,Bob 再用自己的私钥解密,恢复出明文以下说法正确的是:
A. 此密码体制为对称密码体制
B. 此密码体制为私钥密码体制
问题 #33
以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?
问题 #34
在密码学的Kerchhof 假设中,密码系统的安全性仅依赖于_______。
问题 #35
在Windows XP 中用事件查看器查看日志文件,可看到的日志包括?
A. 用户访问日志、安全性日志、系统日志和IE 日志
B. 应用程序日志、安全性日志、系统日志和IE 日志
问题 #37
某用户通过账号,密码和验证码成功登陆某银行的个人网银系统,此过程属于以下哪一类:
A. 个人网银和用户之间的双向鉴别
B. 由可信第三方完成的用户身份鉴别
问题 #38
下列关于kerckhof 准则的说法正确的是:
问题 #39
小李是某公司系统规划师,某天他针对公司信息系统的现状,绘制了一张系统安全建设规划图,如下图所示。请问这个图形是依据下面哪个模型来绘制的()
问题 #40
信息发送者使用__________进行数字签名。
问题 #41
根据BEII—lapadula 模型安全策略,下图中写和读操作正确的是:
问题 #42
以下列出了mac 和散列函数的相似性,哪一项说法是错误的?
问题 #43
面哪种方法产生的密码是最难记忆的?
A. 将用户的生日倒转或是重排
B. 将用户的年薪倒转或是重排
问题 #44
信息可以以多种形式存在。它可以打印写在纸上、以( )、用邮寄或电子手段传递、呈现在信息可以以多种形式存在。它可以打印写在纸上、以( )、用邮寄或电子手段传递、呈现在片上使用是( )。无论信息以什么形式存在,用哪种方法存储或共享,都宜对它进行适当的保护。( )是保护信息受各种威胁的损害,以确保业务( ),业务风险最小化,投资回报和( )。
A. 语言表达;电子方式存储;信息安全;连续性;商业机遇最大化
B. 电子方式存储;语言表达;连续性;信息安全;商业机遇最大化
问题 #45
关于微软的SDL 原则,弃用不安全的函数属于哪个价格段?(C )
问题 #46
优秀源代码审核工具有哪些特点( A )1安全性2多平台性3可扩民性4知识性5集成性
问题 #47
信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理包括()六个方面的内容。( )是信息安全风险管理的四个基本步骤,()则贯穿于这四个基本步骤中。(A)
A. 背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和批准监督;监控审查和沟通咨询
B. 背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和监控审查;批准监督和沟通咨询
问题 #48
某公司在讨论如何确认已有的安全措施,对于确认已有这全措施,下列选项中近期内述不正确的是(D)
A. 对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施
B. 安全措施主要有预防性、检测性和纠正性三种
问题 #49
密码是一种用来混淆的技术,使用者希望正常的(可识别的)信息转变为无法识别的信息。但这种无法识别信息部分是可以再加工并恢复和破解的,小刚是某公司新进的员工,公司要求他注册一个公司网站的账号,小刚使用一个安全一点的密码,请问以下选项中哪个密码是最安全( )
A. 使用和与用户名相同的口令
B. 选择可以在任何字典或语言中找到的口令
问题 #50
基于对()的信任,当一个请求或命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的()。在()中,攻击者伪装成“公安部门”人员要求受害者对权威的信任。在()中,攻击者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者执行操作,例如伪装成系统管理员,告诉用户请求配合进行一次系统测试,要求()等。
A. 权威;执行;电信诈骗;网络攻击;更改密码
B. 权威;执行;网络攻击;电信诈骗;更改密码
问题 #51
在软件项目开发过程中,评估软件项目风险时,()与风险无关。
A. 高级管理人员是否正式承诺支持该项目
B. 开发人员和用户是否充分理解系统的需求
问题 #52
物理安全是一个非常关键的领域包括环境安全、设施安全与传输安全。其中,信息系统的设施作为直存储、处理数据的载体,其安全性对信息系统至关重要。下列选项中,对设施安全的保障的描述正确的是()。
A. 安全区域不仅包含物理区域,还包含信息系统等软件区域
B. 建立安全区域需要建立安全屏蔽及访问控制机制
问题 #53
不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际选择适当的风险评估方法。下面的描述中错误是()
A. 定量风险分析试图从财务数字上对安全进行评估得出可以量化的风险分析结果,以度量风险的可能性和缺失量
B. 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
问题 #54
与浏览器兼容性测试不需要考虑的问题是()。
A. 软件是否可以在不同的J2EE 中运行
B. 不同的浏览器是否可以提供合适的安全设置
问题 #55
下列关于测试方法的叙述中不正确的是()
A. 从某种角度上讲,白盒测试与墨盒测试都属于动态测试
B. 功能测试属于黑盒测试
问题 #56
小王学习了灾难备份的相关知识,了解到常用的数据备份方式包括完全备份、增量备份、差量备份,为了巩固所学知识,小王对这种备份方式进行对比,其中在数据恢复速度方面三种备份方式由快到慢的顺序是()
A. 完全备份、增量备份、差量备份
B. 完全备份、差量备份、增量备份
问题 #57
以下哪一项不属于Web 应用软件表示层测试关注的范畴()。
问题 #58
在国家标准GB/T2024.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面( )
A. 保障要素、生命周期和运行维护
B. 保障要素、生命周期和安全特征
问题 #59
以下哪些不是《国家网络空间安全战略》中阐述的我国网络空间当前任务?
问题 #60
在信息安全保障工作中人才是非常重要的因素,近年来,我国一直调试重视我国信自成安全人才队伍培养建设。在以下关于我国关于人才培养工作的描述中,错误的是()。
A. 在《中胃信息化领导小组关于加强信息安全保障工作的中意见》(中办发[2003]27 号)中,针对信息安全人才建设与培养工作提出了“加快网络空间安全人才培养增强全民信息安全意识”的指导精神
B. 2015 年,为加快网络安全高层次人才培养,经报国务院学位委员会批准,国务院学位委员会、教育部决定“工学”门类下增设“网络空间安全“一级学科,这对于我国网络信息安全人才成体系化、规模化、系统培养到积极的推到作用
问题 #61
王明买了一个新的蓝牙耳机,但王明听说使用蓝牙设备有一定的安全威胁,于是王明找到对蓝牙技术有所了解的王红,希望王红能够给自己一点建议,以下哪一条建议不可取()
A. 在选择使用蓝牙设备时,应考虑设备的技术实现及设置是否具备防止上述安全威胁的能力
B. 选择使用工能合适的设备而不是功能尽可能多的设备、尽量关闭不使用的服务及功能
问题 #62
某公司正在进行IT 系统灾难恢复测试,下列问题中哪个最应该引起关注()
A. 由于有限的测试时间窗,仅仅测试了最必的系统,其他系统在今年的剩余时间里陆续独测试
B. 在测试的过程中,有些备份系统有缺陷或者不能正常工作,从面导致这些系统的测试失败
问题 #63
Hadoop 是目前广泛应用的大数据处理分析平台。在Hadoop1.0.0 版本之前,Hadoop 并不存在安全认证一说。认集群内所有的节点都是可靠的,值得信赖的。用户与服务器进行交互时并不需要进行验证。导致在恶意用户装成真正的用户或者服务器入侵到Hadoop 集群上,恶意的提交作业篡改分布式存储的数据伪装成Name No 安康头发TaskTracker 接受任务等。在Hadoop2.0 中引入Kerberos 机制来解决用户到服务器认证问题,Kerberos 认证过程不包括()
问题 #65
下列关于软件需求管理与需求开发的论述正确的是()
A. 所谓需求管理,是指对需求开发的管理
B. 需求管理包括:需求获取、需求分析、需求定义各需求验证
问题 #66
信息安全是通过实施一组合适的()而达到的,包括策略、过程、规程、()以及软件和硬件功能。在必要时需建立、实施、监视、评审和改进包含这些控制措施的()过程,以确保满足该组织的特定安全和()。这个过程宜与其他业务()联合进行。
A. 信息安全管理;控制措施;组织结构;业务目标;管理过程
B. 组织结构;控制措施;信息安全管理;业务目标;管理过程
问题 #67
了解社会工程学攻击是应对和防御()的关键,对于信息系统的管理人员和用户,都应该了解社会学的攻击的概念和攻击的()。组织机构可采取对相关人员实施社会工程学培训来帮助员工了解什么是社会工程学攻击,如何判断是否存在社会工程学攻击,这样才能更好的保护信息系统和()。因为如果对攻击方式有所了解那么用户识破攻击者的伪装就()。因此组织机构应持续不断的向员工提供安全意识的培训和教育,向员工灌输(),人机降低社会工程学攻击的风险。
A. 社会工程学攻击;越容易;原理;个人数据;安全意识
B. 社会工程学攻击;原理;越容易;个人数据;安全意识
问题 #68
某IT 公司针对信息安全事件已经建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出了四个总结,其中有一项总结工作是错误,作为企业的CSO,请你指出存在问题的是哪个总结?()
A. 公司自身拥有优秀的技术人员,系统也是自己开发的,无需进行应急演练工作,因此今年的仅制定了应急演练相关流程及文档,为了不影响业务,应急演练工作不举行
B. 公司制定的应急演练流程包括应急事件通报、确定应急事件优先级应急响应启动实施、应急响应时间后期运维、更新现在应急预案五个阶段,流程完善可用
问题 #69
强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性要求较高的系统。强制访问控制模型有多种类型,如BLP、Biba、Clark-willson 和ChineseWall 等。小李自学了BLP 模型,并对该模型的特点进行了总结。以下4 种对BLP 模型的描述中,正确的是()。
A. BLP 模型用于保证系统信息的完整性
B. BLP 模型的规则是“向下读,向上写”
问题 #70
对操作系统软件安装方面应建立安装(),运行系统要化安装经过批准的可执行代码,不安装开发代码和(),应用和操作系统软件要在大范围的、成功的测试之后才能实施。而且要仅由受过培训的管理员,根据合适的(),进行运行软件、应用和程序库的更新;必要时在管理者批准情况下,仅为了支持目的才授予供应商物理或逻辑访问权,并且要监督供应商的活动。对于用户能安装何种类型的软件,组织宜定义并强制执行严格的方针,宜使用()。不受控制的计算机设备上的软件安装可能导致脆弱性。进行导致信息泄露;整体性损失或其他信息安全事件或违反()。
A. 控制规程;编译程序;管理授权;最小特权方针;知识产权
B. 编译程序;控制规程;管理授权;最小特权方针;知识产权
问题 #71
网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应急能力的基础上,针对可能发生的重大网络与信息系统突发事件,预先制定的行动计划或应急对策。应急预案的实施需要各子系统相互与协调,下面应急响应工作流程图中,空白方框中从右到左依欠填入的是()。
A. 应急响应专家小组、应急响应技术保障小组、应急响应实施小组、应急响应日常运行小组
B. 应急响应专家小组、应急响应实施小组、应急响应技术保障小组、应急响应日常运行小组
问题 #72
SQL Server 支持两种身份验证模式,即Windows 身份验证模式和混合模式。SQL Server 的混全模式是指:当网络用户尝试接到SQL Server 数据库时,()
A. Windows 获取用户输入的用户和密码,并提交给SQL Serve 进行身份验证,并决定用户的数据库访权限
B. SQL Serve 根据用户输入的用户和密码,并提交给Windows 进行身份验证,并决定用户的数据库访权限
问题 #73
物联网将我们带入一个复杂多元、综合交互的新信息时代,物联网安全成为关系国计民生的大事,直接影响到个人生活的社会稳定。物联网安全问题必须引起高度重视,并从技术、标准和法律方面予以保障。物联网的感知由安全技术主要包括()、()等实现RFID 安全性机制所采用的方法主要有三类:()、()和()。传感器网络认证技术主要包含()、()和()
A. RFID 安全技术;传感器网络安全技术;内部实体认证、网络与用户认证,以及广播认证;物理机制,密码机制,以及二者相结合的方法
B. RFID 安全技术;传感器技术;物理机制、密码机制,以及二者相结合的方法;实体认证、网络与用户认证,以及广播认证
问题 #74
建立并完善()是有效应对社会工程攻击的方法,通过()的建立,使得信息系统用户需要遵循()来实施某些操作,从而在一定程度上降低社会工程学的影响。例如对于用户密码的修改,由于相应管理制度的要求,()需要对用户身份进行电话回拨确认才能执行,那么来自外部的攻击就可能很难伪装成为内部工作人员进行(),因为他还需要想办法拥有一个组织机构内部电话才能实施。
A. 信息安全管理体系;安全管理制度;规范;网络管理员;社会工程学攻击
B. 信息安全管理体系;安全管理制度;网络管理员;规范;社会工程学攻击
问题 #75
怎样安全上网不中毒,现在是网络时代了,上网是每个人都会做的事,但网络病毒一直是比较头疼的,电脑中毒也比较麻烦。某员工为了防止在上网时中毒使用了影子系统,他认为恶代码会通过以下方式传播,但有一项是安全的,请问是()
A. 网页挂马
B. 利用即时通讯的关系链或伪装P2P 下载资源等方式传播到目标系统中
问题 #76
管理,是指()组织并利用其各个要素(人、财、物、信息和时空),借助(),完成该组织目标的过程。其中,()就像其他重要业务资产各()一样,也对组织业务至关重要的一种资产,因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁各()当中。
A. 管理手段;管理主体;信息;管理要素;脆弱性
B. 管理主体;管理手段;信息;管理要素;脆弱性
问题 #77
如下图所示,两份文件包含了不同的内容,却拥有相同的SHA- 1 数字签名a,这违背了安全的哈希函数()性质。
问题 #78
信息安全管理体系也采用了()模型可应用于所有的()。ISMS 把相关方的信息安全要求和期望作为输入,并通过必要的(),产生满足这些要求和期望的()。
A. ISMS:PDCA 过程;行动和过程;信息安全结果
B. PDCA;ISMS 过程;行动和过程;信息安全结果
问题 #79
以下对Kerberos 协议过程说法正确的是:()
A. 协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务
B. 协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务
问题 #80
下列选项中,对物理与环境安全的近期内述出现错误的是()
A. 物理安全确保了系统在对信息进行采集、传输、处理等过程中的安全
B. 物理安全面对是环境风险及不可预知的人类活动,是一个非常关键的领域
问题 #81
风险处理是依据(),选择和实施合适的安全措施。风险处理的目的是为了将()始终控制在可接爱的范围内。风险处理的方式主要有()、()、()和()四种方式。
A. 风险;风险评估的结果;降低;规避;转移;接受
B. 风险评估的结果;风险;降低;规避;转移;接受
问题 #82
信息收集是()攻击实施的基础,因此攻击者在实施前会对目标进行(),了解目标所有相关的()。这些资料和信息对很多组织机构来说都是公开或看无用的,然而对攻击者来说,这些信息都是非常有价值的,这些信息收集得越多,离他们成功得实现()就越近。如果为信息没有价值或价值的非常低,组织机构通常不会采取措施(),这正是什么工程学攻击者所希望的。
A. 信息收集;社会工程学;资料和信息;身份伪装;进行保护
B. 社会工程学;信息收集;资料和信息;身份伪装;进行保护
问题 #83
信息是流动的,在信息的流动过程中必须能够识别所有可能途径的()与();而对于信息本身而言,信息的敏感性的定义是对信息保护的()和(),信息在不同的环境存储和表现的形式也决定了()的效果,不同的载体下,可能体现出信息的()、临时性和信息的交互场景,这使得风险管理变得复杂和不可预测•
A. 基础;依据;载体;环境:永久性:风险管理
B. 基础;依据;载体;环境;风险管理;永久性
问题 #84
软件安全设计和开发中应考虑用户隐私保护,以下关于用户隐私保护的说法错误的是?
A. 告诉用户需要收集什么数据及搜集到的数据会如何被使用
B. 当用户的数据由于某种原因要被使用时,给客户选择是否允许
问题 #85
随着时代的发展,有根多伟人都为通信亊业的发展贡献出自己力量,根据常识可知以下哪项是正确的?()
A. 19 世纪中叶以后,随着电磁技术的发展,诞生了笔记本电脑,通信领域产生了根本性的飞跃,开始了人类通信新时代
B. 1837 年,美国人费曼发明了电报机,可将信息转换成电脉冲传向目的地,再转换为原来的信息,从而实现了长途电报通信
问题 #86
随着人们信息安全意识的不断增强,版权保护也受到越来越多的关注。在版权保护方面国内外使用较为广泛的是数字对象标识符DOI (Digital Object Identifier)系统,它是由非贏利性组织国际DOI 基金会IDF (International DOI Foundation)研究设计的,在数字环境下标识知识产权对象的一种开放性系统。DOI 系统工作流程如图所示,则下面对于DOI 系统认识正确的是()
A. DOI 是一个暂时性的标识号,由Intermational DOI Foundation 管理
B. DOI 的优点有唯一性、持久性、兼容性、或操作性、动态更新
问题 #87
关于我国信息安全保障的基本原则,下列说法中不正确的是:
A. 要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行做法,坚持管理与技术并重
B. 信息化发展和信息安全不是矛盾的关系,不能牺牲—方以保证另一方
问题 #88
攻击者通过向网络或目标主机发送伪造的ARP 应答报文,修改目标计算机上ARP 缓存,形成一个错误的IP 地址<->MAC 地址映射,这个错误的映射在目标主机在需要发送数据时封装错误的MAC 地址。欺骗攻击过程如下图所示,其属于欺骗攻击中的哪一种欺骗攻击的过程()
问题 #89
组织应依照已确定的访问控制策略限制对信息和( )功能的访间。对访间的限制要基于各个业务应用要求,访问控制策略还要与组织的访问策略一致。应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和()时,宜使用如加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统,并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用,应加以限制并()。对程序源代码和相关事项(例如设计、说明书、验证计划和确认计划的访问宜严格控制,以防
A. 应用系统:身份验证;严格控制;保密性:源程序库
B. 身份验证;应用系统;严格控制:保密性;源程序库
问题 #90
OSI 模型把网络通信工作分为七层,如图所示,0SI 模型的每一层只与相邻的上下两层直接通信,当发送进程需要发送信息时,它把数据交给应用层。应用层对数据进行加工处理后,传给表示层。再经过一次加工后,数据被到会话层,这一过程一直继续到物理层接收数据后进行实际的传输,每一次的加工又称为数据封装。其中IP 层对应OSI 模型中的那一层()
问题 #91
以下关于软件安全问题对应关系错误的是?()
A. 缺点( Defect)软件实现和设计上的弱点
B. 缺陷(Bug)-实现级上的软件问题
问题 #92
自主访问控制(DAC)是应用很广泛的访问控制方法,常用于多种商业系统中。以下对DAC 模型的理解中,存在错误的是()
A. 在DAC 模型中,资源的所有者可以规定谁有权访问它们的资源
B. DAC 是一种对单个用户执行访问控制的过程和措施
问题 #93
恶意代码经过20 多年的发展,破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高,网络播的恶意代码对人们日常生活影响越来越大。小李发现在自己的电脑查出病毒的过程中,防病毒软件通过对有毒件的检测,将软件行为与恶意代码行为模型进行匹配,判断出该软件存在恶意代码,这种方式属于( )
问题 #94
信息安全风险值应该是以下哪些因素的函数?( )
A. 信息资产的价值、面临的威胁以及自身存在的脆弱性
B. 病毒、黑客、漏洞等
问题 #95
管理层应该表现对( ),程序和控制措施的支持, 并以身作则。管理职责要确保雇员和承包方人员都了( )角色和职责,并遵守相应的条款和条件。组织要建立信息安全意识计划,并定期组织信息安全()。组织立正式的(),确保正确和公平的对待被怀疑安全违规的雇员。纪律处理过程要规定(),考虑例如违规的性质、重要性及对于业务的影响等因素,以及相关法律、业务合同和其他因素。
A. 信息安全:信息安全政策:教育和培训;纪律处理过程:分级的响应 B 信息安全政策:信息安全:教育和培训:纪律处理过程:分级的响应 C 信息安全政策:教育和培训:信息安全;纪律处理过程:分级的响应 D 信息安全政策:纪律处理过程信息安全;教育和培训:分级的响应
问题 #96
近几年,无线通信技术迅猛发展,广泛应用于各个领域。而无线信道是一个开放性信道,它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素,下列选项中,对无线通信技术的安全特点描述正确的是()
A. 无线信道是一个开放信道,任何具有适当无线设备的人均可以通过搭线窃听而获得网络通信内容
B. 通过传输流分析,攻击者可以掌握精确的通信内容
问题 #97
软件的可维护性可用七个质量特性来衡量,分别是:可理解性、可测试性、可修改性、可靠性、可移植性、可使用性和效率对于不同类型的维护,这些侧重点也是不同的,在可维护性的特性中相互促进的是( )
问题 #98
下列选项中对信息系统审计概念的描述中不正确的是( )
A. 信息系统审计,也可称作IT 审计或信息系统控制审计
B. 信息系统审计是一个获取并评价证据的过程,审计对象是信息系统相关控制,审计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性
问题 #99
随着互联网的迅猛发展、WEB 信息的增加,用户要在信息海洋里查找自己所需的信息,就象大海捞针一样, 索引擎技术恰好解决了这一难题。以下关于搜索引擎技术特点的描述中错误的是( )
A. 搜索引擎以一定的策略在Web 系统中搜索和发现信息
B. 搜索引擎可以分为目录导航式与网页索引式
问题 #100
“规划(Plan)-实施(Do)-检查( Check)-处置(Act)”(PDCA 过程)又叫( ),是管理学中的一个通用模型,最早由( )于1930 年构想,后来被美国质量管理专家( )博士在1950 年再度挖掘出来,并加以广泛宣传和运用于持续改善产品质量的过程。PDCA 循环就是按照“规划、实施、检查、处置”的顺序进行质量管理,并且循环不止地进行下去的( ),建立符合国际标准ISO 9001 的质量管理体系即是一个典型的PDCA 过程,建立IS0 14001 环境管理体系、IS0 20000I 服务(
A. 质量环; 休哈特;戴明; 管理体系; 科学程序
B. 质量环; 戴明; 休哈特; 管理体系; 科学程序 C 质量环: 戴明; 休哈特; 科学程序; 管理体系
问题 #101
ZigBee 主要的信息安全服务为( )、( )、( )、( )。访问控制使设备能够选择其愿意与之通信的其他设备。为了实现访问控制,设备必须在ACL 中维护一个( ),表明它愿意接受来自这些设备的数据。数据加密使用的密钥可能是一组设备共享,或者两两共享。数据加密服务于Beacon、command 以及数据载荷。数据()主要是利用消息完整性校验码保证没有密钥的节点不会修改传输中的消息,进一步确认消息来自一个知道( )的节点
A. 访问控制、数据加密、数据完整性、序列抗重播保护;设备列表;完整性:密钥
B. 访问控制、加密、完整性、序列抗重播保护;设备列表;完整性;密钥
闽公网安备 35012102500533号
|
闽ICP备18010967号-7