2021年XX百万职⼯技能⼤赛-⽹络与信息安全管理员理论题复习
题库(第⼀套)
# 此题仅⽤于复习学习⽤途
⼀、单选题(共270题)
第⼀套
1.对缓冲区溢出攻击预防没有帮助的做法包括
A.输⼊参数过滤,安全编译选项
B.操作系统安全机制、禁⽌使⽤禁⽤ API
C.安全编码教育
D.渗透测试
2.测试⼈员与开发⼈员交互测试发现的过程中,开发⼈员最关注的什么?
A.bug 的数量
B.bug的严重程度
C.bug的复现过程
D.bug修复的可⾏性
3.以下发现属于Linux系统严重威胁的是什么?
A.发现不明的SUID可执⾏⽂件
B.发现应⽤的配置⽂件被管理员变更
C.发现有恶意程序在实时的攻击系统
D.发现防护程序收集了很多⿊客攻击的源地址
4.《关于信息安全等级保护的实施意见》中信息和信息系统安全保护等级的第三级的定义是
A.⾃主保护级
B.指导保护级
C.强制保护级
D.监督保护级
5.以下哪⼀个不是安全审计需要具备的功能?
A.记录关键事件
B.提供可集中处理审计⽇志的数据形式
C.实时安全报警
D.审计⽇志访问控制
6.P2DR模型通过传统的静态安全技术和⽅法提⾼⽹络的防护能⼒,这些技术包括?
A.实时监控技术。
B.访问控制技术。
C.信息加密技术。
D.⾝份认证技术。
7.数据库管理员执⾏以下那个动作可能会产⽣风险?
A.根据变更流程执⾏数据库变更
B.安装操作系统的补丁和更新
C.排列表空间并考虑表合并的限制
D.执⾏备份和恢复流程
8.什么类型的软件应⽤测试被⽤于测试的最后阶段,并且通常包含不属于开发团队之内的⽤户成员 ?
A.Alpha 测试
B.⽩盒测试
C.回归测试
D.Beta测试
9.下⾯哪⼀项不是ISMS Check阶段的⼯作?
Tips:信息安全管理体系(ISMS)是针对任何类型的组织⽤于建⽴、实施、运⾏、监控、审核、维护和改进信息安全的⼀个政策、程序、指南以及相关资源的框架
A.安全事件响应
B.安全内部审核
C.管理评审
D.更新安全计划
10.以下有关通信与⽇常操作描述不正确的是?
A.信息系统的变更应该是受控的
B.企业在岗位设计和⼈员⼯作分配时应该遵循职责分离的原则
C.移动介质使⽤是⼀个管理难题,应该采取有效措施,防⽌信息泄漏
D.所有⽇常操作按照最佳实践来进⾏操作,⽆需形成操作⼿册。
11. 信息安全管理⼿段不包括以下哪⼀项
A.技术
B.流程
C.⼈员
D.市场
12. 以下对信息安全描述不正确的是
A.信息安全的基本要素包括保密性、完整性和可⽤性
B.信息安全就是保障企业信息系统能够连续、可靠、正常地运⾏,使安全事件对业务造成的影响减到最⼩,确保组织业务运⾏的连续性
C.信息安全就是不出安全事故/事件
D.信息安全不仅仅只考虑防⽌信息泄密就可以了
13.以下对信息安全管理的描述错误的是
A.保密性、完整性、可⽤性
B.抗抵赖性、可追溯性
C.真实性私密性可靠性
D.增值性
14.以下哪个命令可以查看端⼝对应的PID
Astat -ano
B.ipconfig /all
Dsh
15. Windows组策略适⽤于
Tips:S——Site(站点)、D——Domain(域)、OU——Organizition Unit(组织单位)
A.S
B.D
C.O
D.S、D、OU
16.下列⽣物识别设备,哪⼀项的交差错判率(CER)最⾼?
A.虹膜识别设备
B.⼿掌识别设备
C.声⾳识别设备
D.指纹识别设备
17.下列物识别设备,哪⼀项的交差错判率(CER)最⾼?
A.虹膜识别设备
B.⼿掌识别设备
C.声⾳识别设备
D.指纹识别设备
18.在设计业务连续性计划时,企业影响分析可以⽤来识别关键业务流程和相应的⽀持程序,它主要会影响到下⾯哪⼀项内容的制定?
A.维护业务连续性计划的职责
B.选择站点恢复供应商的条件
C.恢复策略
D.关键⼈员的职责
19.⼀个备份站点包括电线、空调和地板,但不包括计算机和通讯设备,那么它属于
A.冷站
B.温站
C.直线站点
D.镜像站点
20.在⼀个业务继续计划的模拟演练中,发现报警系统严重受到设施破坏。下列选项中,哪个是可以提供的最佳建议:
A.培训救护组如何使⽤报警系统
B.报警系统为备份提供恢复
C.建⽴冗余的报警系统
D.把报警系统存放地窖⾥
21.下列哪⼀项是⼀个适当的测试⽅法适⽤于业务连续性计划(BCP)?
Tips:业务连续性计划是⼀套基于业务运⾏规律的管理要求和规章流程,使⼀个组织在突发事件⾯前能够迅速作出反应,以确保关键业务功能可以持续,⽽不造成业务中断或业务流程本质的改变。
A.试运⾏
B.纸⾯测试
C.单元
D.系统
22.由于病毒攻击、⾮法⼊侵等原因,校园⽹整体瘫痪,或者校园⽹络中⼼全部DNS、主WEB服务器不能正常⼯作;由于病毒攻击、⾮法⼊侵、⼈为破坏或不可抗⼒等原因,造成校园⽹出⼝中断,属于以下哪种级别事件
A.特别重⼤事件
B.重⼤事件
C.较⼤事件
D.⼀般事件
23.应急响应计划⽂档不应该
A.分发给公司所有⼈员
B.分发给参与应急响应⼯作的所有⼈员
C.具有多份拷贝在不同的地点保存
D.由专⼈负责保存与分发
24.哪⼀项不是业务影响分析(BIA)的⼯作内容
Tips:(Business Impact Assessment),⼀个企业可持续发展计划中不可缺少的组成部分。分析了⼲扰性风险对组织运营的影响⽅式,同时识别并量化了必要的风险管理能⼒。它包括对企业薄弱点的考察与揭⽰,制定企业的风险应对策略等。
A.确定应急响应的恢复⽬标
B.确定公司的关键系统和业务
C.确定业务⾯临风险时的潜在损失和影响
D.确定⽀持公司运⾏的关键系统
25.以下哪个模型主要⽤于⾦融机构信息系统的保护?
A.Chinese wall模型
B.BIBA模型
C.Clark-Wilson 模型
D.BMA 模型
26.射频识别(RFID)标签容易受到以下哪种风险 ?
A. 进程劫持
B.窃听
C. 恶意代码
D.Phishing
27.当曾经⽤于存放机密资料的PC在公开市场出售时
A.对磁盘进⾏消磁
B.对磁盘低级格式化
C.删除数据
D.对磁盘重整
28.信息安全管理最关注的是?
A.外部恶意攻击
B.病毒对PC的影响
C.内部恶意攻击
D.病毒对⽹络的影响有程序正在修改镜像劫持
29.多层的楼房中,最适合做数据中⼼的位置是:
A.⼀楼
B.地下室
C.顶楼
D.除以上外的任何楼层
30.当客户需要访问组织信息资产时,下⾯正确的做法是?
A.应向其传达信息安全要求及应注意的信息安全问题。
B.尽量配合客户访问信息资产。
C.不允许客户访问组织信息资产。
D.不加⼲涉,由客户⾃⼰访问信息资产。
31.对安全策略的描述不正确的是?
A.信息安全策略应得到组织的最⾼管理者批准。
B.策略应有⼀个所有者,负责按复查程序维护和复查该策略。
C.安全策略应包括管理层对信息安全管理⼯作的承诺。
D.安全策略⼀旦建⽴和发布,则不可变更。
32.渗透测试作为⽹络安全评估的⼀部分
A.提供保证所有弱点都被发现
B.在不需要警告所有组织的管理层的情况下执⾏
C.到存在的能够获得未授权访问的漏洞
D.在⽹络边界上
33.在制定控制前,管理层⾸先应该保证控制
A.满⾜控制⼀个风险问题的要求
B.不减少⽣产⼒
C.基于成本效益的分析
D.检测⾏或改正性的
34.风险评估和管理⼯具通常是指什么⼯具
A.漏洞扫描⼯具
B.⼊侵检测系统
C.安全审计⼯具
D.安全评估流程管理⼯具
35.风险评估实施过程中资产识别的依据是什么
A.依据资产分类分级的标准
B.依据资产调查的结果
C.依据⼈员访谈的结果
D.依据技术⼈员提供的资产清单
36.降低风险的控制措施有很多,下⾯哪⼀个不属于降低风险的措
施?
A.在⽹络上部署防⽕墙
B.对⽹络上传输的数据进⾏加密
C.制定机房安全管理制度
D.购买物理场所的财产保险
37.信息安全管理措施不包括:
A.安全策略
B.物理和环境安全
C.访问控制
D.安全范围
38.为了解决操作⼈员执⾏⽇常备份的失误,管理层要求系统管理员签字⽇常备份,这是⼀个风险,,例⼦:
A.防⽌
B.转移
C. 缓解
D.接受
39.通常最好由谁来确定系统和数据的敏感性级别?
A.审计师
B.终端⽤户
C.拥有者
D.系统分析员
40.系统地识别和管理组织所应⽤的过程,特别是这些过程之间的相互作⽤,称为什么?
A.戴明循环
B.过程⽅法
C.管理体系
D. 服务管理
41.下⾯哪⼀项组成了CIA三元组?
A.保密性,完整性,保障
B.保密性,完整性,可⽤性
C.保密性,综合性,保障
D.保密性,综合性,可⽤性
42.在逻辑访问控制中如果⽤户账户被共享,这种局⾯可能造成的最⼤风险是 :
A.⾮授权⽤户可以使⽤ID擅⾃进⼊ .
B.⽤户访问管理费时
C.很容易猜测密码
D.⽆法确定⽤户责任
43.组织的安全策略可以是⼴义的,以是狭义的,下⾯哪⼀条是属于⼴义的安全策略?
A.应急计划
B.远程办法
C.计算机安全程序
D.电⼦邮件个⼈隐私
44.下⾯哪⼀种是最安全和最经济的⽅法,对于在⼀个⼩规模到⼀个中等规模的组织中通过互联⽹连接私有⽹络?
A.虚拟专⽤⽹
B.专线
C.租⽤线路
D. 综合服务数字⽹
45.当组织将客户信⽤审查系统外包给第三⽅服务提供商时,下列哪⼀项是信息安全专业⼈⼠最重要的考虑因素?该提供商:
A.满⾜并超过⾏业安全标准
B.同意可以接受外部安全审查
C.其服务和经验有很好的市场声誉
D.符合组织的安全策略
46.审核在实施审核时,所使⽤的检查表不包括的内容有?
A.审核依据
B.审核证据记录
C. 审核发现
D. 数据收集⽅法和⼯具
47.对于在ISMS 内审中所发现的问题,在审核之后应该实施必要的改进措施并进⾏跟踪和评价,以下描述不正确的是?
Tips: Information Security Management Systems信息安全管理体系是组织在整体或特定范围内建⽴信息安全⽅针和⽬标,以及完成这些⽬标所⽤⽅法的体系
A.改进措施包括纠正和预防措施
B.改进措施可由受审单位提出并实施
C.不可以对体系⽂件进⾏更新或修改
D.对改进措施的评价应该包括措施的有效性的分析
48.企业信息资产的管理和控制的描述不正确的是
A.企业应该建⽴和维护⼀个完整的信息资产清单,并明确信息资产的管控责任;
B.企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;
C.企业的信息资产不应该分类分级,所有的信息系统要统⼀对待
D.企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产
49.风险评估的过程中,⾸先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?
A.只识别与业务及信息系统有关的信息资产,分类识别
B.所有公司资产都要识别
C.可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产
D.资产识别务必明确责任⼈、保管者和⽤户
50.以下对信息安全管理的描述错误的是
A.信息安全管理的核⼼就是风险管理
B.⼈们常说,三分技术,七分管理,可见管理对信息安全的重要性
C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂
D.信息安全管理⼯作的重点是信息系统,⽽不是⼈
51. 信息安全管理体系(ISMS)是⼀个怎样的体系,以下描述不正确的是
A. ISMS是⼀个遵循PDCA模式的动态发展的体系
B. ISMS是⼀个⽂件化、系统化的体系
C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求⽽定
D. ISMS应该是⼀步到位的,应该解决所有的信息安全问题
52. PDCA特征的描述不正确的是
A.顺序进⾏,周⽽复始,发现问题,分析问题,然后是解决问题
B.⼤环套⼩环,安全⽬标的达成都是分解成多个⼩⽬标,⼀层层地解决问题
C.阶梯式上升,每次循环都要进⾏总结,巩固成绩,改进不⾜
D.信息安全风险管理的思路不符合PDCA的问题解决思路
53. 构成风险的关键因素有哪些?
A. ⼈,财,物
B. 技术,管理和操作
C.资产,威胁和弱点
D.资产,可能性和严重性
54.安全开发制度中,QA最关注的的制度是
A.系统后评价规定
B.可⾏性分析与需求分析规定
C.安全开发流程的定义、交付物和交付物衡量标准
D.需求变更规定
55.以下哪项⾏为可能使⽤嗅探泄露系统的管理员密码?
A.使⽤root⽤户访问FTP程序
B.使⽤root⽤户连接SSH服务
C.使⽤root进⾏SCP⽂件传输
D.在本地使⽤root⽤户登录
56.灾难恢复SHARE78的第三层是指
A.卡车运送
B.电⼦链接
C.活动状态的备份中⼼
D.0数据丢失
57.以下哪⼀个是在所有的WINDOWS2000和WINDOWS系统中都存在的⽇志是?
A.⽬录服务⽇志
B.⽂件复制⽇志
C.应⽤服务⽇志
D.DNS服务⽇志
58.P2DR模型中的“反应”是在检测到安全漏洞和安全事件时,通过及时的响应措施将⽹络系统的安全性调整到风险最低的状态,这些措施包括?
A.关闭服务。
B.向上级汇报。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论