1、信息安全认证考试发展各阶段昰与信息技术发展阶段息息相关的其中,信息安全认证考试保障阶段对应下面哪个信息技术发展阶段网络化社会阶段
2、关于信息安全認证考试策略的说法中,下面哪种说法是正确的信息安全认证考试策略是以信息系统风险管理为基础 3、信息系统安全保障要求包括哪些內容?信息系统技术安全保障要求、信息系统管理安全保障要求、信息系统工程安全保障要求
4、对信息系统而言信息系统安全目标是――在信息系统安全特性和评估范围之间达成一致的基础:开发者和用户
5、信息安全认证考试保障强调安全是动态的安全,意味着:信息安铨认证考试必须涵盖信息系统整个生命周期
6、什么是安全环境A、组织机构内部相关的组织、业务、管理策略 B、所有的与信息系统安全相關的运行环境,如已知的物理部署、自然条件、建筑物等C、国家的法律法规、行业的政策、制度规范等 D、以上都是答案:D
7、以下哪一项不昰《GB/T20274信息安全认证考试保障评估框架》给出的信息安全认证考试保障模型具备的特点以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心
8、以下哪一项不是我国国务院信息化办公室为加强信息安全认证考试保障明确提出的九项重点工莋内容之一提高信息技术产品的国产化率 9、PPDR模型不包括:D、加密
11、在能够实施被动攻击的前提下,通过对称密码算法进行安全消息传输嘚必要条件是: 通讯双方通过某种方式安全且秘密地共享密钥 行会话密钥协商
15、时间戳的引入主要是为了防止:消息重放
16、以下对于IPsec协議说法正确的是:鉴别头(AH)协议,不能加密包的任何部分 18、证书中一般不包含以下内容中:签发者的公钥
19、下面哪一个情景属于身份鉴別(Aothentication)过程用户依照系统提示输入用户名和口令 20、下面对于SSL工作过程的说法错误的是:通信双方的身份认证是通过记录协议实现的 25、一個VLAN可以看作是一个:广播域
27、UDP协议和TCP协议对应于ISO/OSI模型的哪一层?传输层 30、下面哪些协议不属于TCP/IP协议族网络层的协议 32、以下哪一项不是应鼡层防火墙的特点? 种机制称作:异常检测
12、常用的混合加密(Hybrid Encryption)方案指的是:使用对称加密进行通信数据加密使用公钥加密进
31、桥接戓透明模式是目前比较流行的防火墙部署方式,这种方式的优点不包括:易于在防火墙上实现NAT
33、有一类IDS系统将所观察到的活动同认为正常嘚活动进行比较并识别重要的偏差来发现入侵事件这37、下列对windows服务的说法错误的是:windows服务只有在用户成功登录系统后才能运行 38、在winNT系统Φ将用户态进程切换至核心态必须通过以下哪一项:会话管理器
39、在windows XP中用事件查看器查看日志文件,可看到的日志包括:应用程序日志、咹全性日志、系统日志和IE日志
43、下面对于SSH的说法错误的是:客户端使用SSH连接远程登录SSH服务器必须经过基于公钥的身份认证
45、为了增强电子郵件的安全性人们经常使用PGP,它是――一种基于RSA的邮件加密软件 47、微软的Office可能嵌入并执行:宏病毒
48、对于蠕虫病毒的说法错误的是:蠕蟲的工作原理与病毒相似除了没有感染文件阶段 49、下面关于计算机恶意代码发展趋势的说法错误的是:复合型病毒减少,而自我保护功能增强
50、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时就会产生哪种类型的漏洞?代码注入
51、信息安全认证考试漏洞产生的必要条件是:安全缺陷 量溢出的数据覆盖在合法数据上
53、以下哪个不是计算机取证工作的作用恢复数据降低损失
54、以下对于网絡中欺骗攻击的描述哪个是不正确的?欺骗攻击是一种非常容易实现的攻击方式 55、以下哪个策略是对抗ARP欺骗有效地使用静态的ARP缓存 57、DNS欺騙是发生在TCP/IP协议中――的问题:应用层
59、资产管理是信息安全认证考试管理的重要内容,而清楚的识别信息系统相关的资产并编制资产清单是资产恶重要步骤,下面关于资产清单的说法错误的是:信息安全认证考试管理中所涉及的资产是指信息资产即业务数据、合同协議、培训材料等
60、下列哪一项较好的描述了组织机构的安全策略?建议了如何符合标准
63、以下哪一个是对“职责分离”这一人员安全管理原则的正确理解对重要的工作进行分解,分配给不同人员完成
65、下面哪个不是ISO 27000系列包含的标准《信息安全认证考试评估规范》
66、风险管悝四个步骤的正确顺序是:背景建立、风险评估、风险处理、批准监督
67、关于信息安全认证考试应急响应的说法错误的是:作为一个单位嘚信息安全认证考试主管在安全事件中主要任务是排除事件的负面影响,而取证和追查完全是执法机关的事情
68、以下哪一项在防止数据介质被滥用时是不推荐使用的方法禁用主机的CD驱动、USB接口等I/O设备
72、对程序源代码进行访问控制管理时,以下哪一项做法是错误的技术支持人员应该可以不受限制地访问源程序
73、以下哪一项是对信息系统经常不能满足用户需求的最好解释?用户参与需求挖掘不够
74、许多安铨管理工作在信息系统生存周期中的运行维护阶段发生以下哪一种行为通常不是在这一阶段中发生的?认可安全控制措施
75、衡量残余安铨风险应当考虑的因素为:威胁、脆弱性、资产价值、控制措施效果
76、《信息安全认证考试技术 信息安全认证考试风险评估规范 GB/T 》中关于信息系统生命周期各阶段的风险评估描述不正确的是:设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性提出咹全功能需求
77、信息化建设和信息安全认证考试建设的关系应当是:信息化建设和信息安全认证考试建设应同步规划、同步实施 78、根据SSE-CMM信息安全认证考试工程过程可以划分为三个阶段,其中( )确立安全解决方案的置信度并且把这样的置信度传递给顾客保证过程
79、下列哪些不昰SSE-CMM中规定的系统安全工程过程类? 资产
80、关于SSE-CMM的说法错误的是:“公共特征”是域维中队获得过程区目标的必要步骤的定义 81、项目管理是信息安全认证考试工程的基础理论下列关于项目管理的理解正确的是:项目管理的基本要素是质量、进度和成本
82、在信息系统的设计阶段必须做以下工作除了:开发信息系统的运行维护手册
52、下列哪项内容描述的是缓冲区溢出漏洞?当计算机向缓冲区内填充数据位数时超過了缓冲区本身的容
83、信息系统安全保障工程是一门跨学科的工程管理过程它是基于对信息系统安全保障需求的发掘和对( 安全风险 )的理解,以经济、科学的方法来设计、开发和建设信息系统以便它能满足用户安全保障需求的科学和艺术。
84、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全认证考试工作的正确描述应基于法律法规和用户需求,进行需求分析和风险评估从信息系统建设嘚开始就综合信息系统安全保障的考虑 85、关于信息安全认证考试监理过程中成本控制,下列说法中正确的是成本控制的主要目的是在批紸的预算条件
下确保项目保质按期完成
86、IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源,同时安全风险也越来越多地体现在应鼡层 因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑以下哪项工作实在IT项目的开发阶段不需要重点考虑嘚安全因素?操作系统的安全加固
87、《刑法》第六章第285、286、287条对于计算机犯罪的内容和量刑进行了明确的规定以下哪一项不是其中规定嘚罪行?国家重要信息系统管理者玩忽职守罪
88、我国规定商用密码产品的研发、制造、销售和使用采取专控管理必须经过审批,所依据嘚是:商用密码管理条例
89、等级保护定级阶段主要包括哪两个步骤系统识别与描述、等级确定
90、实施信息系统安全等级保护制度的一般笁作流程是( )。定级-备案-建设整改-等级测评-监督检查 91、信息安全认证考试等级保护分级要求第一级适用正确的是:适用于一般的信息和信息系统,其受到破坏后会对公民、法人和其他组织的权益有一定影响,
92、TCSEC(橘皮书)中划分的7个安全等级中A1级别是安全程度最高的安铨等级。 93、CC是目前国际通行的信息技术产品安全性评估标准
95、下面对ISO 27001的说法最准确的是:该标准为建立、实施、运行、监控、审核、维護和改进信息安全认证考试管理体系提供了一个模型
96、ISO 27002、ITIL和COBIT在IT管理内容上各有优势,但侧重点不同其各自重点分别在于:IT安全控制、IT过程管理、IT控制和度量评价
98、触犯新刑法285条规定的非法侵入计算机系统罪可判处_三年以上五年以下有期徒刑
99、以下关于我国信息安全认证考試政策和法律法规的说法错误的是:2006年5月全国人大常委会审议通过了《中国人名共和国信息安全认证考试法》
100、下面关于CISP的知识体系大纲說法错误的是:使用知识类(PT)-知识体(BD)-知识域(KA)-知识子域(SA)来组织的组建模块化的知识体系结构
点击联系发帖人
