注册信息安全专业人员(CISO、CISE通用版)真题精选.docx
《注册信息安全专业人员(CISO、CISE通用版)真题精选.docx》由会员分享,可在线阅读,更多相关《注册信息安全专业人员(CISO、CISE通用版)真题精选.docx(26页珍藏版)》请在冰点文库上搜索。
注册信息安全专业人员(CISO、CISE通用版)真题精选
[单项选择题]
1、下列哪种类型的IDS能够监控网络流量中的行为特征,并能够创建新的数据库?
()
A.基于特征的IDS
B.基于神经网络的IDS
C.基于统计的IDS
D.基于主机的IDS
参考答案:
B
[单项选择题]
2、划分VLAN主要解决什么问题?
()
A.隔离广播
B.解决安全性
C.隔离故障域
D.解决带宽问题
参考答案:
A
[单项选择题]
3、某单位总部与各分部使用防火墙通过ISP专线实现网络互联,各分部网络结构相同,防火墙统一配置为:
1口提供互联网接入服务,2口配置为互联总部。
各分部防火墙的两个端口配置哪种模式最合理?
()
A.都是路由模式
B.都是NAT模式
C.路由模式和NAT模式
D.NAT和路由模式
参考答案:
D
[单项选择题]
4、某单位在评估生物识别系统时,对安全性提出了非常高的要求。
据此判断,下列哪一项技术指标对于该单位来说是最重要的?
()
A.错误接收率(FAR)
B.平均错误率(EER)
C.错误拒绝率(FRR)
D.错误识别率(FIR)
参考答案:
A[单项选择题]
5、IP欺骗(IPSpoof)是利用TCP/IP协议中()的漏洞进行攻击的。
A.对源IP地址的鉴别方式
B.结束会话时的四次握手过程
C.IP协议寻址机制
D.TCP寻址机制
参考答案:
A
[单项选择题]
6、数据库管理员在检查数据库时发现数据库的性能不理想,他准备通过对部分数据表实施去除规范化(denormanization)操作来提高数据库性能,这样做将增加下列哪项风险?
()
A.访问的不一致
B.死锁
C.对数据的非授权访问
D.数据完整性的损害
参考答案:
D
[单项选择题]
7、下面哪一个工具不支持漏洞扫描()
A.BT5
B.NMAP
C.wireshahe
D.nessus
参考答案:
C
[单项选择题]
8、为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成?
()
A.确保风险评估过程是公平的
B.因为风险正是由于这些来自不同部门的人员所引起的,因此他们应该承担风险评估的职责
C.因为不同部门的人员对本部门所面临的风险最清楚,由此进行的风险评估也最接近于实际情况
D.风险评估团队不应该由来自不同部门的人员组成,而应该由一个来自公司外部的小型团队组成
参考答案:
C
[单项选择题]
9、以下哪一种环境控制适用于保护短期内电力环境不稳定条件下的计算机设备?
()
A.电路调整器Powerlineconditioners
B.电流浪涌防护装置Asurgeprotectivedevice
C.替代电源
D.不间断供电
参考答案:
B
[单项选择题]
10、以下哪项不是风险评估阶段应该做的()
A.对ISMS范围内的信息资产进行鉴定和估价
B.对信息资产面对的各种威胁和脆弱性进行评估
C.对已存在的成规划的安全控制措施进行界定
D.根据评估结果实施相应的安全控制措施
参考答案:
D
[单项选择题]
11、某公司正在对一台关键业务服务器进行风险评估:
该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。
根据以上信息,该服务器的年度预期损失值(ALE)是多少?
()A.1800元B.62100元C.140000元D.6210
元
参考答案:
D
[单项选择题]
12、“通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动?
()
A.规划和建立
B.实施和运行
C.监视和评审
D.保持和改进
参考答案:
D
[单项选择题]
13、风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项()。
A.明确组织管理机构
B.制定安全措施实施计划
C.资产识别并赋值
D.风险识别并赋值
参考答案:
C
[单项选择题]
14、以下哪一个是对于参观者访问数据中心的最有效的控制?
()
A.陪同参观者
B.参观者佩戴证件
C.参观者签字
D.参观者由工作人员抽样检查
参考答案:
A
[单项选择题]
15、当一个关键文件服务器的存储增长没有被合理管理时,以下哪一项是最大的风险?
()
A.备份时间会稳定增长
B.备份成本会快速增长
C.存储成本会快速增长
D.服务器恢复工作不能满足恢复时间目标(RTO)的要求
参考答案:
D
[单项选择题]
16、以下关于符合性管理的描述中错误的是()
A.符合性包括法律法规的符合性和组织安全策略方针的符合性
B.仅在组织内部使用的信息系统不必考虑来自外部的法律法规的要求
C.通过信息系统审核检查符合性时,应尽量减少审核对信息系统的影响
D.符合性管理中应当注意用户个人隐私保护问题
参考答案:
B
[单项选择题]
17、射频识别(RFID)标签容易受到以下哪种风险?
()
A.进程劫持
B.窃听
C.恶意代码
D.Phishing
参考答案:
B
[单项选择题]
18、在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?
()
A.C2
B.C1
C.B2
D.B1
参考答案:
D
[单项选择题]
19、SSE-CMM可以对获取组织、工程组织()产生作用
A.采购组织
B.开发组织
C.集成组织
D.认证组织
参考答案:
D
[单项选择题]
20、为增强Web应用程序的安全性,某软件开发经理决定加强Web软件安全开发培训,下面哪项内容要在他的考虑范围内()
A.关于网站身份签别技术方面安全知识的培训
B.针对OpenSSL心脏出血漏洞方面安全知识的培训
C.针对SQL注入漏洞的安全编程培训
D.关于ARM系统漏洞挖掘方面安全知识的培训
参考答案:
C[单项选择题]
21、下面哪一种物理访问控制能够对非授权访问提供最高级别的安全?
()
A.bolting门锁
B.Cipher密码锁
C.电子门锁
D.指纹扫描器
参考答案:
D更多内容请访问《睦霖题库》微信公众号
[单项选择题]
22、VPN为相关企业解决很大问题,哪一项VPN实现不了?
()
A.节约成本
B.保证数据安全性
C.保证网络安全性
D.对VPN内数据进行加密
参考答案:
C
[单项选择题]
23、信息安全风险评估是信息安全管理体系建立的基础,以下说法错误的是()
A.信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安全风险评估
B.风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估
C.风险评估可以确定需要实施的具体安全控制措施
D.风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合
参考答案:
C
[单项选择题]
24、某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法。
()
A.模糊测试
B.源代码测试
C.渗透测试
D.软件功能测试
参考答案:
C[单项选择题]
25、干管灭火器系统使用()。
A.水,但是只有在发现火警以后水才进入管道
B.水,但是水管中有特殊的防水剂
C.CO2代替水
D.哈龙代替水
参考答案:
A
[单项选择题]
26、以下《关于加强政府信息系统安全和保密管理工作的通知》和《关于印发政府信息系统安全检查办法》错误的是()
A.明确检查方式“以自查为主,抽查为辅”、按需求进行技术检测
B.明确对信息安全工作“谁主管谁负责、谁运行谁负责、谁使用谁负责”
C.明确安全管理措施和手段必须坚持管理制度和技术手段
D.明确工信部具体负责组织检查
参考答案:
D
[多项选择题]
27、属于DDOS攻击的是:
()
A.SynFlood
B.Trinoo
C.Stacheldraht
D.FunTimeApocalypse
参考答案:
B,C,D
[单项选择题]
28、小陈自学了信息安全风险评估的相关理论知识后,根据风险分析阶段的工作内容和计量方法只是,绘制了如下四张图,图中F1、F2、F3、F4分别代表某种计算函数,四组图中,计算关系表达正确的是()。
A.A
B.B
C.C
D.D
参考答案:
A
[单项选择题]
29、所有进入物理安全*区域的人员都需经过()。
A.考核
B.授权
C.批准
D.认可
参考答案:
B
[单项选择题]
30、对PPDR模型的解释错误的是()
A.该模型提出安全策略为核心,防护、检测和恢复组成一个完整的、动态的循环
B.该模型的一个重要贡献是加速了时间因素,而且对如何实现系统安全和评价安全状态给出了可操作的描述
C.该模型提出的公式1:
Pt>Dt+rt,代表防护时间大于检测时间加响应时间
D.该模型提出的公式2:
Et=Dt+rt,代表当防护时间为0时,系统的暴露时间等于检测时间加响应时间
参考答案:
B
[单项选择题]
31、依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是()
A.信息系统安全保障目的
B.环境安全保障目的
C.信息系统安全保障目的和环境安全保障目的
D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
参考答案:
D
[单项选择题]
32、信息安全管理体系(informationSecurltyManagement
System.简称ISMS)的实施和运行ISMS阶段,是ISMS过程模型的实施阶段,下面给出了一些备选的活动,选项()描述了在此阶段组织应进行的活动。
①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划⑤管理ISMS的运行⑥管理ISMS的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估
A.①②③④⑤⑥
B.①②③④⑤⑥⑦
C.①②③④⑤⑥⑦⑧
D.①②③④⑤⑥⑦⑧⑨
参考答案:
B[单项选择题]
33、维持对于信息资产的适当的安全措施的责任在于()。
A.安全管理员
B.系统管理员
C.数据和系统的所有者
D.系统作业人员
参考答案:
A
[单项选择题]
34、公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。
下面说法哪个是错误的()
A.乙对信息安全不重视,低估了黑客能力,不舍得花钱
B.甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费
C.甲未充分考虑网游网站的业务与政府网站业务的区别
D.乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求
参考答案:
A
[单项选择题]
35、层次化的文档是信息安全管理体系《informationSecurltyManagement
System.ISMS》建设的直接体系,也ISMS建设的成果之一,通常将ISMS的文档结构规划为4层金字塔结构,那么,以下选项()应放入到一级文件中。
A.
《风险评估报告》
B.
《人力资源安全管理规定》
C.
《ISMS内部审核计划》
D.
《单位信息安全方针》
参考答案:
D
[单项选择题]
36、以下哪一项对HVACR的解释是正确的?
()
A.电磁泄露防护技术的总称
B.物理访问控制的总称
C.一种生物识别技术
D.供热、通风、空调,和冰箱等环境支持系统的简称
参考答案:
D
[单项选择题]
37、设施、网络、平台、介质、应用类信息资产的保密期限为()。
A.3年B.长期C.4月
D.短期
参考答案:
B
[单项选择题]
38、与PDR模型相比,P2DR模型多了哪一个环节?
()
A.防护
B.检测
C.反应
D.策略
参考答案:
D
[单项选择题]
39、某单位在实施风险评估时,按照规范形成了若干文档,其中,()中的文档应属于风险评估中“风险要素识别”阶段输出的文档。
A.
《风险评估方法》,主要包括本次风险评估的目的、范围、目标,评估步骤,经费预算和进度安排等内容
B.
《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容
C.
《风险评估准则要求》,主要包括现有风险评估参考标准、采用的风险分析方法,资产分类标准等内容
D.
《已有安全措施列表》,主要经验检查确认后的已有技术和管理方面安全措施等内容
参考答案:
D
[单项选择题]
40、哪种鉴别技术是利用密钥生成一个固定长度的短数据块,并将该数据块附加到消息之后以便接收方对消息进行验证?
()
A.消息鉴别码
B.数字签名
C.身份认证码
D.散列码
参考答案:
A
[单项选择题]
41、信息资产敏感性指的是()。
A.机密性
B.完整性
C.可用性D.安全性
参考答案:
A
[单项选择题]42、2008年1月2日,美目发布第54号总统令,建立国家网络安全综合计划(ComprehensiveNationalCybersecurityInitiative,CNCI)。
CNCI计划建立三道防线:
第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁;第三道防线,强化未来安全环境.从以上内容,我们可以看出以下哪种分析是正确的()
A.CNCI是以风险为核心,三道防线首要的任务是降低其网络所面临的风险
B.从CNCI可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的
C.CNCI的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状,而不是在现在的网络基础上修修补补
D.CNCI彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保障重点,而是追求所有网络和系统的全面安全保障
参考答案:
A
[单项选择题]
43、下面哪一项不属于集中访问控制管理技术?
()
A.RADIUS
B.TEMPEST
C.TACACS
D.Diameter
参考答案:
B
[单项选择题]
44、有关系统安全工程-能力成熟度模型(SSE-CMM)中基本实施(BaseRractes)正确的理解是()
A.BP不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B.BP不是根据广泛的现有资料,实施和专家意见综合得出的
C.BP不代表信息安全工程领域的最佳实践
D.BP不是过程区域(ProcessArebs,PA)的强制项
参考答案:
A
[单项选择题]
45、以下哪些是信息资产无需明确的?
()
A.所有者
B.管理者
C.厂商D.使用者
参考答案:
C
[单项选择题]
46、有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件,这种机制称作()
A.异常检测
B.特征检测
C.差距分析
D.比对分析
参考答案:
A
[单项选择题]
47、如下图所示,Alice用Bob的密钥加密明文,将密文发送给Bob。
Bob再用自己的私钥解密,恢复出明文。
以下说法正确的是()
A.此密码体制为对称密码体制
B.此密码体制为私钥密码体制
C.此密码体制为单钥密码体制
D.此密码体制为公钥密码体制
参考答案:
D
[单项选择题]
48、在工程实验阶段,机构依据承建合同,安全设计方案,实施方案,实施记录,国家或地方相关标准和技术指导文件,对信息化工程进行安全()检查,以验证项目是否实现了项目设计目标和安全等级要求
A.功能性
B.可用性
C.保障性
D.符合性
参考答案:
D
[单项选择题]
49、下列哪种技术不是恶意代码的生存技术()
A.反跟踪技术
B.加密技术
C.模糊变换技术
D.自动解压缩技术
参考答案:
D
[单项选择题]
50、以下哪些不是介质类资产?
()
A.纸质文档
B.存储介质
C.软件介质
D.凭证
参考答案:
A
[单项选择题]
51、某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
()
A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高
C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
参考答案:
A
[单项选择题]
52、下列哪一种密钥生命周期最短()
A.公钥B.私钥
C.会话密钥
D.秘密密钥
参考答案:
C
[单项选择题]
53、公钥基础设施中不包括以下哪一项()
A.CRL
B.RA
C.IKE
D.CA
参考答案:
C
[单项选择题]
54、微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项错误的事是()
A.某用户在登录系统并下载数据后,却声称“我没有下载过数据"
B.某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于R威胁。
C.对于R威胁,可以选择使用如强认证、数字签名、安全审计等技术
D.对于R威胁,可以选择使用如隐私保护、过滤、流量控制等技术
参考答案:
D
[单项选择题]
55、以下哪些不是设备资产?
()
A.机房设施
B.周边设施
C.管理终端
D.操作系统
参考答案:
D
[单项选择题]
56、相比FAT文件系统,以下哪个不是NTFS所具有的优势()
A.NTFS使用事务日志自动记录所有文件和文件夹更新,当出现系统损坏引起操作失败后,系统能利用日志文件重做或恢复未成功的操作
B.NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限
C.对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率
D.相比FAT文件系统,NTFS文件系统能有效的兼容linux下的EXT32文件格式
参考答案:
D[单项选择题]
57、由于频繁出现燃机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()
A.要求所有的开发人员参加软件安全开发知识培训
B.要求增加软件源代码审核环节,加强对软件代码的安全性审查
C.要求统一采用Windows8系统进行开发,不能采用之前的Windows版本
D.要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题
参考答案:
C
[单项选择题]
58、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。
在以下软件安全开发策略中,不符合软件安全保障思想的是()
A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D.在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行
参考答案:
A
参考解析:
A项在立项时预留安全评审相关费用属于过度安全防范,可能造成间接损失,不符合软件安全保障思想。
[单项选择题]
59、下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则?
()
A.
《关于加强政府信息系统安全和保密管理工作的通知》
B.
《中华人民共和国计算机信息系统安全保护条例》
C.
《国家信息化领导小组关于加强信息安全保障工作的意见》
D.
《关于开展信息安全风险评估工作的意见》
参考答案:
C
[单项选择题]
60、为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时下面哪一项是最好的方法?
()
A.进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码B.进行离职谈话,禁止员工账号,更改密码
C.让员工签署跨边界协议
D.列出员工在解聘前需要注意的所有责任
参考答案:
A
升级会员 