信息安全考试题目doc.docx
《信息安全考试题目doc.docx》由会员分享,可在线阅读,更多相关《信息安全考试题目doc.docx(16页珍藏版)》请在冰点文库上搜索。
信息安全考试题目doc
信息安全考试题目
机构名称:
所属部门:
考生姓名:
注意事项:
本试卷满分100分,考试时间80分钟。
一、单选题(20题,每题2分,共40分)
1、为尽量防止通过浏览网页感染恶意代码,下列做法中错误的是()。
A.不使用IE浏览器,而使用FireFox(火狐)之类的第三方浏览器
B.关闭IE浏览器的自动下载功能
C.禁用IE浏览器的活动脚本功能
D.先把网页保存到本地再浏览
2、下列说法正确的是()。
A.“灰鸽子”是一种很便捷的互联网通讯小工具
B.Nimda是一种蠕虫病毒
C.CIH病毒可以感染WINDOWS98也可以感染WINDOWS2000
D.世界上最早的计算机病毒是小球病毒
3、下列不属于信息系统面临的威胁是()。
A.软硬件故障
B.制度未定期评审
C.拒绝服务
D.雷雨
4、如果你刚收到一封你同事转发过来的电子邮件,警告你最近出现了一个可怕的新病毒,你应先考虑做下面哪件事情?
()
1/10
A.将这个消息传给你认识的每个人
B.用一个可信赖的信息源验证这个消息
C.将你的计算机从网络上断开
D.升级你的病毒库
5、下面哪项不属于黑客攻击的基本手法?
(B)
A.踩点
B.加固系统安全
C.扫描
D.安装后门
6、当面临一堆数据资产时,谁最有发言权决定面前这堆数据的该怎么分类?
()
A.部门主管
B.高级管理层
C.运维和保护这堆数据的数据所有者
D.这堆数据的日常使用者
7、一般情况下,哪类群体容易诱发公司的信息安全风险?
()A.公司的雇
员
B.社会上的黑客
C.恐怖分子
D.公司的服务商/集成商
8、当对数据进行分类时,数据所有者首先最应该考虑什么?
()A.首先考虑哪些雇员、客户、集成商/服务商都分别应该访问哪些数据B.首先考虑清楚并
2/10
确定这些数据的三性(机密性、完整性、可用性)C.首先考虑数据面临什么样的威胁
D.首先考虑数据的访问控制策略
9、在您所知的信息系统所有认证方式中,下列对于口令认证方式描述正确的是()。
A.它是最便宜和提供最强安全防护能力的
B.它是最昂贵和提供最强安全防护能力的
C.它是最昂贵和提供最弱安全防护能力的
D.它是最便宜和提供最弱安全防护能力的
10、谁最终负责确定数据分类的正确性和保护措施的合理性?
(
A.客户
B.高级管理层
C.运维和保护这堆数据的数据所有者
D.这堆数据的日常使用者
11、什么时候可以决定不对某个风险项进行处置?
()
A.不会发生这种情况的,我们公司会逐项确认并整改所有风险项
B.因某方面的潜规则要求从而不确认某个风险项时
C.为了处置某一风险项而将要实施的整改措施较为复杂时
D.处置风险所付出的代价超过实际威胁造成的损失时
12、当公司机房发生火灾时,您觉得首先应该做什么?
(
A.关掉电闸并查看消防装置状态是否正常
3/10
B.辨别火势和起火原因
C.抢救机房内重要资产和贵重物品
D.向楼内所有员工发出告警并组织疏散
13、下面哪个不是实施风险分析的目的?
()
A.分担责任
B.明晰威胁可能造成的影响
C.识别风险及其等级))D.明确风险的危害并找出各种对策
14、关于计算机网络访问安全不正确的描述是()。
A.系统管理员不必对其他用户的访问权限进行检查
B.访问控制基本原则:
未经明确允许即为禁止访问
C.必须通过唯一注册的用户ID来控制用户对网络的访问
D.系统管理员必须确保用户访问基于最小特权原则而授权
15、对于“风险评估过程中,我们是否有必要让各个部门都参与进来”这句话的思考,下面哪项最为正确?
()
A.为了确保风险评估过程的公平,为了确保每个人员都未被排除在外,我们应该这样做。
B.我们不需要。
我们只要让一部分风险评估的专业人员(如咨询公司)来做就行,风险评估使用的数据有用与否、偏颇与否不会影响风险分析的。
C.公司面临风险的数据应从最理解公司业务和环境的人群中取得,而每个部
门恰恰能很好的理解他们自己的资源和风险,并且他们很可能已经知道特定风险的解决方案。
所以应该让大家参与进来。
D.因为各部门的雇员也可能是各类风险的诱发者,所以应该让他们参与进
来。
4/10
16、人员安全不包括()。
A.背景检查
B.技能意识培训
C.系统测试流程
D.绩效考核和奖惩
17、下面的说法正确的是()。
A.信息的泄漏只在介质的传递过程中发生
B.信息的泄漏只在介质的存储过程中发生
C.信息的泄漏只在介质的传递和存储过程中发生
D.上面三个都不对
18、物理安全的管理应做到()。
A.访客进入内部需持临时卡并由相关人员陪同
B.办公区域应具备门禁设施
C.在重要场所的迸出口安装监视器,并对进出情况进行录像
D.以上均正确
19、信息不能被未授权的个人,实体或者过程利用或知悉的特性,指的是信息资产()。
A.可用性
B.保密性
C.完整性
D.源发性
5/10
20、含有重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时,以下存放方式错误的是()。
A.锁在文件柜
B.锁在保险柜
C.放在带锁的抽屉
D.随意放在桌子上
二、不定项选择题(15题,每题4分,共60分)
1、关于恶意代码防范策略描述正确的是()。
A.计算机必须部署指定的防病毒软件
B.防病毒软件必须持续更新
C.感染病毒的计算机不能从网络中断开,要先从网络中获取最新的病毒防范
版本
D.发生任何病毒传播事件,相关人员自己先解决,解决不了再向IT管理部
门汇报
2、关于口令的描述正确的是()。
A.用户名+口令是最简单也最常用的身份认证方式
B.口令是抵御攻击的第一道防线,防止冒名顶替
C.口令与个人隐私息息相关,必须慎重保护
D.由于使用不当,往往使口令成为最薄弱的安全环节
3、信息资产的三性包括()。
A.可用性
B.机密性
6/10
C.完整性
D.源发性
4、哪些属于信息安全中禁止的行为()。
A.发现信息安全事故或薄弱点,及时知会责任部门
B.随意安装未经公司确认的软件
C.在互联网上发送未经处理的口令或其他敏感信息
D.出于便捷或其他目的,在未经申报的情况下,信息系统的特权用户为自己临时新建其他帐户
5、信息的存在形式包括()。
A.打印或写在纸上
B.以电子方式存储
C.用邮寄或电子方式传送
D.用语言表达
E.呈现在胶片上
6、关于资产、威胁和薄弱点三者的关系描述正确的有()。
A.资产具有价值
B.薄弱点将资产暴露给威胁,威胁利用薄弱点对资产造成潜在影响
C.一个薄弱点对应一个威胁
D.一个资产可能面临多个威胁,一个威胁可能利用多个薄弱点
7、第三方均指本部门员工以外的其他组织和其他人员,即外来者,第三方的分类主要包括有()。
7/10
A.常驻本部门的项目开发人员(该人员隶属于开发外包单位)
B.本部门处于实习期/试用期的雇员
C.设备厂商技术人员
D.货运接送或销售人员等
E.行业监管机构(如保监会)
8、备份工作主要保证了信息和系统的()。
A.完整性
B.可用性
C.保密性
D.符合性
9、对发生以下情况对其访问权应予以注销()。
A.内部用户雇佣合同终止时
B.雇员带薪休假时
C.第三方访问合同终止时
D.内部用户因岗位调整不再需要此项访问服务时
10、重大信息安全事件发生后我们应当()。
A.妥善处理各相关事宜以降低损失
B.在确定时限内恢复信息系统
C.分析原因,做好记录
D.明确责任人
8/10
11、时至今日,您觉得随意使用移动媒体可能会带来哪些风险?
()A.机
密信息被拷贝
B.引入非法应用程序
C.引入病毒及恶意代码
D.引起硬件损坏
12、口令使用的好习惯包括()。
A.口令应该越简单越好
B.口令应该经常更改
C.初始口令设置不得为空
D.难记的口令写在纸上并压在键盘底下以备随时查阅
13、发送邮件我们应当注意()。
A.如果同样的内容可以用普通文本正文,就不要用附件
B.发送不安全的文件之前,先进行病毒扫描
C.不要参与所谓的邮件接龙
D.尽量不要发送.doc,.xls等可能带有宏病毒的文件
14、防范第三方人员通过社会工程学方式入侵公司信息系统,我们应当注意()。
A.不轻易泄漏敏感信息
B.在相信任何人之前,先校验其真实的身份
C.不违背公司的安全策略
D.积极配合来自电话、邮件的任何业务要求,即便是马上提供本人的口令
信息
9/10
15、刑法第285条规定,对实施计算机信息系统犯罪的处罚包括()。
A.社区/街道服务1个月
B.处三年以下有期徒刑或者拘役
C.处罚金
D.处三年以上七年以下有期徒刑
10/10
升级会员 