A *.exe B *.doc C *.xls D *.ppt 42、以下对于蠕虫病毒的描述错误的是: A 蠕虫的传播无需用户操作 B 蠕虫会消耗内存或网络宽带,导致DOS
C 蠕虫的传播需要通过“宿主”程序或文件 D 蠕虫程序一般有“传播模块”、“隐蔽模块”和“目的功能模块”构成 43、为了防止电子邮件中的恶意代码,应该用--------方式阅读电子邮件 A. B. C. D. A. B. C.
纯文本 网页 程序 会话
通常通过诱骗或和其它软件捆绑在用户不知情的情况下安装 通常添加驱动保护使用户难以卸载 通常会启动无用的程序浪费计算机的资源
44、以下哪一项不是流氓软件的特征?
D. 通常会显示下流的言论
45、在典型的web应用站点的层次结构中,“中间件”是在那里运行的? A. 浏览器客户端 B. Web服务器 C. D.
应用服务器 数据库服务器
46、为了应对日益严重的垃圾邮件问题,人们设计和应用了各种垃圾邮件过滤机制,以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制: A. SMTP身份认证 B. 逆向名字解析 C.
黑名单过滤
D. 内容过滤
47、无论是哪一种web服务器,都会受到HTTP协议本身安全问题的困扰,这样的信息安全漏洞属于: A. B. C.
设计型漏洞 开发型漏洞 运行性漏洞
D. 以上都不是
48、基于攻击方式可以将黑客攻击分为主动攻击和被动攻击,以下哪一项不属于主动攻击: A. B.
中断 篡改
C. 侦听 D. 伪造
49、关于数据库注入攻击的说法错误的是: A. B.
它的主要原因是程序对用户的输入缺乏过滤 一般情况下防火墙对它无法防范
C. 对它进行防范时要关注操作系统的版本和安全补丁 D. 注入成功后可以获取部分权限
50、存储过程是SQL语句的一个集合,在一个名称下存储,按独立单元方式执行。以下哪
- 6 -
一项不是使用存储过程的优点: A. B. C. D.
提高性能,应用程序不用重复编译此过程
降低用户查询数量,减轻网络拥塞
语句执行过程中如果中断,可进行数据回滚,保证数据的完整性和一致性 可以控制用户使用存储过程的权限,以增强数据库的安全性
51、以下哪一项是DOS攻击的一个实例? A. SQL注入 B. C. D. A. B. C.
IP Spoof Smurt 攻击 字典破解
Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具 Rootkit是一种危害大、传播范围广的蠕虫 Rootkit和系统底层技术结合十分紧密
52、下面对于Rootkit技术的解释不准确的是:
D. Rootkit的工作机制是定位和修改系统的特定数据,改变系统的正常操作流程 53、以下对跨站脚本攻击(XSS)的解释最准确的一项是: A. B. C.
引诱用户点击虚假网络连接的一种攻击方法
构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 一种很强大的术马攻击手段
D. 将恶意代码嵌入到用户浏览的web网页中,从而到达恶意的目的 54、以下哪一项是常见web站点脆弱性扫描工具: A. AppScan B. Nmap C. Sniffer D. LC
55、下面哪一项是黑客用来实施DDOS攻击的工具: A.
LC5
B. Rootkit C. iceSword D. trinoo
56、对于信息系统访问控制说法错误的是:
A. 应该根据业务需要和安全要求制定清晰的访问控制策略,并根据需要进行评审
和改进
B. 网络访问控制是访问控制的重中之重,网络访问控制做好了操作系统和应用 层次的访问控制问题就可以得到解决
C. 做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控件中的有关责任
D. 移动计算机和远程工作技术的广泛应用给访问控制带来了新的问题,因此在访问控制工作中要重点考虑对移动计算设备和远程工作用户的控制措施
57、信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安
全策略文档中必须包含的内容: A. B. C.
说明信息安全对组织的重要程度 介绍需要符合的法律法规要求 信息安全技术产品的选型范围
- 7 -
D. 信息安全管理责任的定义
58、资产管理是信息安全管理的重要内容,而清楚的识别信息系统相关的资产,并编制资产清单是资产管理的重要步骤,下面关于资产清单的说法错误的是: A. 资产清单的编制是风险管理的一个重要的先决条件 B. C. D.
信息安全管理中所涉及的资产指信息资产,即业务数据、合同协议、培训材
料等
在制定资产清单的时候应根据资产的重要性。业务价值和安全分类,确定与资产重要性相对应保护级别
资产清单中应当包括将资产从灾难中恢复而需要的信息,如资产类型、格式、位置、备份信息、许可信息等
59、作为一个组织中的信息系统普通用户,以下哪一项是不应该了解的? A.
谁负责信息安全管理制度的制定和发布
B. 谁负责监督信息安全制度的执行
C. 信息系统发生灾难后,进行恢复工作的具体流程 D. 如果违背了安全制度可能会受到的惩戒措施 60、信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的? A. B. C.
D.
信息的价值
信息的时效性 信息的存储方式 法律法规的规定
61、下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的? A. 对安全违规的发现和验证是进行惩戒的重要前提 B. 惩戒措施的一个重要的意义在于它的威慑性
C. 出于公平,进行惩戒时不应考虑员工是否是初犯,是否接受过培训 D. 尽管法律诉讼是一种严厉有效的惩戒手段,但是用它时一定要十分慎重 62、风险分析的目标是达到: A. B. C.
风险影响和保护性措施之间的价值平衡 风险影响和保护性措施之间的操作平衡 风险影响和保护性措施之间的技术平衡
D. 风险影响和保护性措施之间的逻辑平衡 63、以下对“信息安全风险”的描述正确的是: A. B. C. D.
是来自外部的威胁利用了系统自身存在的脆弱性作用于资产形成风险 是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险 是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险 是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险
64、以下关于风险管理的描述不正确的是:
A. 风险的4种控制方法有:减低风险/转嫁风险/规避风险/接受风险 B. 安全风险管理是否成功在于风险是否被切实消除了 C. 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息
安全风险. D. 信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识
别、控制、减少或消除的过程
65、在 余磁盘阵列中,以下不具有容错技术的是________
- 8 -
A. RAD0
B. RAD1 C. RAD3 D. RAD5
66、在国家标准《信息系统灾难恢复规范》中,根据______要素,将灾难恢复等级划分为____
级
A、7、6 B、6、7 C、7、7 D、6、6 67、以下关于信息安全应急响应的说法错误的是:
A. 明确处理安全事件的工作职责和工作流程是应急响应工作中非常重要的一项
内容
B. 仅仅处理好紧急事件不是应急工作的全部,通过信息安全事件进行总结和学习
也是很重要的
C. 对安全事件的报告和对安全弱点的报告都是信息安全事件管理的重要内容 D. 作为一个单位的信息安全主管,在安全事件中主要任务是排除事件的负面影
响,而取证和追查完全是执法机关的事情
68、下面对于信息安全事件分级的说法正确的是:
A. 对信息安全事件的分级可以参考信息系统的重要程度、系统损失和应急成本三
个要素 B. 判断信息系统的重要成都主要考虑其用户的数量 C. 判断系统损失大小主要考虑恢复系统正常运行和消除安全事件负面影响所需
付出的代价 D. 根据有关要求国家机关的信息安全事件必须划分为“重大事件”“较大事件”
和“一般事件”三个级别
69、目前数据大集中是我国重要的大型分布信息系统建设和发展的趋势。数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台。对这种做法的认识正确的是: A. B. C. D.
数据库系统庞大会提高管理成本 数据库系统庞大会降低管理效率 数据的集中会降低风险的可控性 数据的集中会造成风险的集中
70、对程序源代码进行访问控制管理时,以下哪一种做法是错误的? A. 若有可能,在实际生产系统中不保留源程序库 B. 对源程序库的访问进行严格的审计 C. 技术支持人员应可以不受限制地访问源程序 D. 对源程序库的拷贝应受到严格的控制规程的制约 71、以下对系统日志信息的操作中哪一项是最不应当发生的: A. B. C.
对日志内容进行编辑
只抽取部分条目进行保存和查看 用新的日志覆盖旧的日志
D. 使用专用工具对日志进行分析
72、以下哪一项是对信息系统经常不能满足用户需求的最好解释? A. B. C.
没有适当的质量管理工具 经常变化的用户请求 用户参与需求挖掘不够
- 9 -
D. 项目管理能力不强
73、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。以下哪一种行为通常不是在这一阶段中发生的? A. 进行系统备份 B. 管理加密密钥 C. D.
认可安全控制措施 升级安全软件
74、在信息安全管理工作中“符合性”的含义不包括哪一项? A. 对法律法规的符合 B. C. D.
对安全策略和标准的符合 对用户预期服务效果的符合 通过审计措施来验证符合情况
75、下面哪一项最准确的阐述了安全监测措施和安全 A. 审计措施不能自动执行,而监测措施可以自动执行 B. C.
监测措施不能自动执行,而审计措施可以自动执行
审计措施是一次性的或周期性的进行,而监测措施是实时地进行
D. 监测措施是一次性地或周期性地进行,而审计措施是实时地进行
76、口令是验证用户身份的最常用的手段,以下哪一种口令的潜在风险影响范围最大? A. 长期没有修改的口令 B. C.
过短的口令
两个人公用的口令
D. 设备供应商提供的默认口令
77、系统工程是信息安全工程的基础学科,钱学森说:“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法,使一种对所有系统都具有普遍意义的科学方法”以下哪项对系统工程的理解是正确的: A. B.
系统工程是一种方法论 系统工程是一种技术实现
C. 系统工程是一种基本理论 D. 系统工程不以人参与系统为研究对象
78、项目管理是信息安全工程的基础理论,以下哪项对项目管理的理解是正确的:
A. B.
项目管理的基本要素是质量、进度和成本 项目管理的基本要素是范围、人力和沟通
C. 项目管理是从项目的执行开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价,以实现项目的目标 D. 项目管理是项目的管理者,在有限的资源约束下,运用系统的观点、方法和理论,对项目涉及的技术工作进行有效的管理
79、在信息系统的设计阶段必须做以下工作除了: A. B. C. D.
决定使用哪些安全控制措施 对设计方案的安全性进行评估 开发信息系统的运行维护手段 开发测试、验收和认可方案
80、进行信息安全管理体系的建设是一个涉及企业文化、信息系统特点、法律法规限制等多方面的因素的复杂过程,人们在这样的过程中总结了许多经验,下面哪一项是最不值得被赞同的?
- 10 -