搜索
CISE模拟题三一、单选题。(共100题,共100分,每题1分)1.美国的关键信息基础设施(criticalInformationInfrastructure,CII)包括商用设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括:a、这些行业都关系到国计民生,对经济运行和国家安全影响深远b、这些行业都是信息化应用广泛的领域c、这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出d、这些行业发生信息安全事件,会造成广泛而严重的损失最佳答案是:c2.关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确:a、2001-2002年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构b、2003-2005年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略c、2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功d、2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐最佳答案是:c3.以下一项是数据完整性得到保护的例子?a、某网站在访问量突然增加时对用户连接数量进行了限制,保证己登录的用户可以完成操作b、在提款过程中ATM终端发生故障,银行业务系统及时对该用户的帐户余额进行了冲正操作c、某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作d、李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看最佳答案是:b4.以下哪一项不是我国信息安全保障工作的主要目标:a、保障和促进信息化发展b、维护企业与公民的合法权益c、构建高效的信息传播渠道d、保护互联网知识产权最佳答案是:c5.进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史.国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:a、与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点b、美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担c、各国普遍重视信息安全事件的应急响应和处理d、在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系最佳答案是:b6.公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下面说法哪个是错误的:a、乙对信息安全不重视,低估了黑客能力,不舍得花钱b、甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费c、甲未充分考虑网游网站的业务与政府网站业务的区别d、乙要综合考虑业务.合规性和风险,与甲共同确定网站安全需求最佳答案是:a7.与PDR模型相比,P2DR模型多了哪一个环节?a、防护b、检测c、反应d、策略最佳答案是:d8.从系统工程的角度来处理信息安全问题,以下说法错误的是:a、系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。b、系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。c、系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。d、系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的.成熟的.可测量的先进学科。最佳答案是:c9.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?a、提高信息技术产品的国产化率b、保证信息安全资金投入c、加快信息安全人才培养d、重视信息安全应急处理工作最佳答案是:a10.下面哪一种方式,能够最有效的约束雇员只能履行其分内的工作?a、应用级访问控制b、数据加密c、卸掉雇员电脑上的软盘和光盘驱动器d、使用网络监控设备最佳答案是:a11.某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?a、渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞b、渗透测试是用软件代替人工的一种测试方法,因此测试效率更高c、渗透测试使用人工进行测试,不依赖软件,因此测试更准确d、渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多最佳答案是:a12.对于抽样而言,以下哪项是正确的?a、抽样一般运用于与不成文或无形的控制相关联的总体b、如果内部控制健全,置信系统可以取的较低c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样d、变量抽样是估计给定控制或相关控制集合发生率的技术最佳答案是:b13.在检查广域网(WAN)的使用情况时,发现连接主服务器和备用数据库服务器之间线路通讯异常,流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是:a、实施分析,以确定该事件是否为暂时的服务实效所引起b、由于广域网(WAN)的通讯流量尚未饱和,96%的流量还在正常范围内,不必理会c、这条线路应该立即更换以提升其通讯容量,使通讯峰值不超过总容量的85%d、通知相关员工降低其通讯流量,或把网络流量大的任务安排到下班后或清晨执行,使WAN的流量保持相对稳定最佳答案是:a14.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?a、软件在Linux下按照时,设定运行时使用nobody用户运行实例b、软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库c、软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限d、为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误最佳答案是:d15.某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?a、对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题b、要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识c、要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞d、要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对输入数据进行校验最佳答案是:c16.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失,在以下软件安全开发策略中,不符合软件安全保障思想的是:a、在软件立项时考虑到软件安全相关费用,经费中预留了安全测试.安全评审相关费用,确保安全经费得到落实b、在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足c、确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码d、在软件上线前对软件进行全面安全性测试,包括源代码分析.模糊测试.渗透测试,未经以上测试的软件不允许上线运行最佳答案是:d17.某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法?a、信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低b、软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低c、双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低d、双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同最佳答案是:a18.某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则?a、最小权限b、权限分离c、不信任d、纵深防御最佳答案是:b19.以下哪一项不是工作在网络第二层的隧道协议?a、VTPb、L2Fc、PPTPd、L2TP最佳答案是:a20.如图所示,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表示的访问控制实现方法是:a、访问控制表(ACL)b、访问控制矩阵c、能力表(CL)d、前缀表(Profiles)最佳答案是:c21.某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施?a、由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析b、为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险c、日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志d、只允许特定的IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间最佳答案是:d22.某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?a、网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度b、网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等c、网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改d、网站使用用户名.密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息最佳答案是:d23.以下场景描述了基于角色的访问控制模型(Role-basedAccessControl.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位.职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型,下列说法错误的是:a、当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝b、业务系统中的岗位.职位或者分工,可对应RBAC模型中的角色c、通过角色,可实现对信息资源访问的控制d、RBAC模型不能实现多级安全中的访问控制最佳答案是:d24.下面哪一项不是虚拟专用网络(VPN)协议标准:a、第二层隧道协议(L2TP)b、Intern