INSPC 练习题


第1题(单选题)

关于Kerberos认证协议,以下说法错误的是:

A:只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该TGT没有过期,就可以使用该TGT通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码

B:认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全

C:该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证

D:该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂

第2题(单选题)

以下哪个选项不是防火墙技术?

A:IP地址欺骗防护

B:NAT

C:访问控制

D:SQL注入攻击防护

第3题(单选题)

风险评估方法的选定在PDCA循环中的哪个阶段完成?

A:实施和运行

B:保持和改进

C:建立

D:监视和评审

第4题(单选题)

某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是:

A:所选择的特征(指纹)便于收集、测量和比较

B:每个人所拥有的指纹都是独一无二的

C:指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题

D:此类系统一般由用户指纹信息采集和指纹信息识别两部分组成

第5题(单选题)

消息在发送前,用发送者的私钥加密消息内容和它的哈希(hash,或译作:杂选、摘要)值,能够保证:

A:消息的真实性和完整性

B:消息的真实性和保密性

C:消息的完整性和保密性

D:保密性和防抵赖性

第6题(单选题)

在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是:

A:分析系统的体系结构

B:分析系统的安全环境

C:制定风险管理计划

D:调查系统的技术特性

第7题(单选题)

<p>下面哪项属于软件开发安全方面的问题?</p>

A:软件部署时所需选用服务性能不高,导致软件执行效率低

B:应用软件来考虑多线程技术,在对用户服务时按序排队提供服务

C:应用软件存在sql注入漏洞,若被黑客利用能窃取数据库所用数据

D:软件受许可证(license)限制,不能在多台电脑上安装

第8题(单选题)

某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法?

A:模糊测试

B:源代码测试

C:渗透测试

D:软件功能测试

第9题(单选题)

下面有关能力成熟度模型的说法错误的是:

A:能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类

B:使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域

C:使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域

D:SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型

第10题(单选题)

<p>金女士经常通过计算机网络购物,从安全角度看,下面哪项是不好的操作习惯( )?</p>

A:使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件.应用软件进行升级

B:为计算机安装具有良好声誉的安全防范软件,包括病毒查杀.安全检查和安全加固方面的软件

C:在IE的配置中,设置只能下载和安装经过签名的.安全的ActiveX控件

D:在使用网络浏览器时,设置不在计算机中保留网络历史记录和表单数据

第11题(单选题)

<p>下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:</p>

A:风险过程

B:保证过程

C:工程过程

D:评估过程

第12题(单选题)

微软SDL将软件开发生命周期制分为七个阶段,并列出了十七项重要的安全活动。其中“弃用不安全的函数”属于( )的安全活动

A:要求(Rapuiroments)阶段

B:设计(Design)阶段

C:实施(Implenpentation)阶段

D:验证(Verifcation)阶段

第13题(单选题)

某公司开发了一个游戏网站,但是由于网站软件存在漏洞,在网络中传输大数据包时总是会丢失一些数据,如一次性传输大于2000个字节数据时,总是会有3到5个字节不能传送到对方,关于此案例,可以推断的是( )

A:该网站软件存在保密性方面安全问题

B:该网站软件存在完整性方面安全问题

C:该网站软件存在可用性方面安全问题

D:该网站软件存在不可否认性方面安全问题

第14题(单选题)

在提高阿帕奇系统(Apache HTTP Server)系统安全性时,下面哪项措施不属于安全配置内容( )?

A:不在Windows下安装Apache,只在Linux和Unix下安装

B:安装Apache时,只安装需要的组件模块

C:不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户账号来运行

D:积极了解Apache的安全通告,并及时下载和更新

第15题(单选题)

<p>建立数据所有权关系的任务应当是下列哪一种人的责任?</p>

A:职能部门用户

B:内部审计人员

C:数据处理人员

D:外部审计人员

第16题(单选题)

能涵盖损失的最好的保险单类型是:

A:基本保险单

B:扩展保险单

C:特殊的涵盖所有风险的保险单

D:与风险类型相称的保险

第17题(单选题)

<p>P2DR模型不包括:</p>

A:策略

B:检测

C:响应

D:加密

第18题()

第19题(单选题)

某linux系统由于root口令过于简单,被攻击者猜解后获得了root口令,发现被攻击后,管理员更改了root口令,并请安全专家对系统进行检测,在系统中发现有一个文件的权限如下-r-s--x--x 1 test tdst 10704 apr 15 2002/home/test/sh请问以下描述哪个是正确的:

A:该文件是一个正常文件,test用户使用的shell,test不能读该文件,只能执行

B:该文件是一个正常文件,是test用户使用的shell,但test用户无权执行该文件

C:该文件是一个后门程序,该文件被执行时,运行身份是root,test用户间接获得了root权限

D:该文件是一个后门程序,由于所有者是test,因此运行这个文件时文件执行权限为test

第20题(单选题)

windows文件系统权限管理作用访问控制列表(Access Control List.ACL)机制,以下哪个说法是错误的:

A:安装Windows 系统时要确保文件格式使用的是NTFS ,因为Windows 的ACL机制需要 NTFS 文件格式的支持

B:由于windows 操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限 ,为了作用上的便利,Windows 上的ACL存在默认设置安全性不高的问题

C:windows 的ACL机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中

D:由于ACL 具有很好的灵活性,在实际使用中可以为每一个文件设定独立的用户的权限

第21题(单选题)

S公司在全国有20个分支机构,总部有10台服务器.200个用户终端,每个分支机构都有一台服务器.100个左右用户终端,通过专网进行互联互通。公司招标的网络设计方案中,四家集成商给出了各自的IP地址规划和分配的方法,作为评标专家,请给S公司选出设计最合理的一个:

A:总部使用服务器.用户终端统一作用10.0.1.X.各分支机构服务器和用户终端使用192.168.2.X~192.168.20.X

B:总部使用服务器使用10.0.1.1~11.用户终端使用10.0.1.12~212,分支机构IP地址随意确定即可

C:总部服务器使用10.0.1.X. 用户终端根据部门划分使用10.0.2.X.每个分支机构分配两个A类地址段,一个用做服务器地址段.另外一个做用户终端地址段

D:因为通过互联网连接,访问的是互联网地址,内部地址经NAT映射,因此IP地址无需特别规划,各机构自行决定即可

第22题(单选题)

<p>某单位发生的管理员小张在繁忙的工作中接到了一个电话,来电者:小张吗?我是科技处李强,我的邮箱密码忘记了,现在打不开邮件,我着急收个邮件,麻烦你先帮我把密码改成123,我收完邮件自己修改掉密码。热心的小张很快的满足了来电的要求。后来,李强发现邮箱系统登录异常。请问以下说法哪个是正确的?</p>

A:小张服务态度不好,如果把李强的邮件收下来亲自交给李强就不会发生这个问题

B:事件属于服务器故障,是偶然事件,应向单位领导申请购买新的服务器。

C:单位缺乏良好的密码修改操作流程或者小张没有按操作流程工作

D:事件属于邮件系统故障,是偶然事件,应向单位领导申请升级邮件服务软件

第23题(单选题)

信息安全管理体系描述不正确的是:

A:是一个组织整体管理体系的组成部分

B:是有范围和边界的

C:是风险评估的手段

D:其基本过程应遵循PDCA循环

第24题(单选题)

在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:

A:SSH

B:HTTP

C:FTP

D:SMTP

第25题(单选题)

<p>软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的政策和实际行为是矛盾的?</p>

A:员工的教育和培训

B:远距离工作(Telecommuting)与禁止员工携带工作软件回家

C:自动日志和审计软件

D:政策的发布与政策的强制执行

第26题(单选题)

<p>以下属于哪一种认证实现方式:用户登录时,认证服务器(Authentication Server, AS)产生一个随机数发送给用户,用户用某种单向算法将自己的口令.种子密钥和随机数混合计算后作为一次性口令,并发送给AS,AS用同样的防腐计算后,验证比较两个口令即可验证用户身份。</p>

A:口令序列

B:时间同步

C:挑战/应答

D:静态口令

第27题(单选题)

下面哪一种安全技术是鉴别用户身份的最好的方法?

A:智能卡

B:生物测量技术

C:挑战--响应令牌

D:用户身份识别码和口令

第28题(单选题)

近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?

A:加强网站源代码的安全性

B:对网络客户端进行安全评估

C:协调运营商对域名解析服务器进行加固

D:在网站的网络出口部署应用级防火墙

第29题(单选题)

以下关于UDP协议的说法,哪个是错误的?

A:UDP具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击

B:UDP协议包头中包含了源端口号和目的端口号,因此UDP可通过端口号将数据包送达正确的程序

C:相比TCP协议,UDP协议的系统开销更小,因此常用来传送如视频这一类高流量需求的应用数据

D:UDP协议不仅具有流量控制,超时重发等机制,还能提供加密等服务,因此常用来传输如视频会话这类需要隐私保护的数据

第30题(单选题)

对戴明环"PDCA"方法的描述不正确的是:

A:“PDCA”的含义是P-计划,D-实施,C-检查,A-改进

B:“PDCA”循环又叫"戴明"环

C:“PDCA"循环是只能用于信息安全管理体系有效进行的工作程序

D:“PDCA”循环是可用于任何一项活动有效进行的工作程序

第31题(单选题)

下面威胁中不属于抵赖行为的是:

A:发信者事后否认曾经发送过某条消息

B:收信者事后否认曾经接收过某条消息

C:发信者事后否认曾经发送过某条消息的内容

D:收信者接收消息后更改某部分内容

第32题(单选题)

以下哪一种判断信息系统是否安全的方式是最合理的?

A:是否已经通过部署安全控制措施消灭了风险

B:是否可以抵抗大部分风险

C:是否建立了具有自适应能力的信息安全模型

D:是否已经将风险控制在可接受的范围内

第33题(单选题)

以下列哪种处置方法属于转移风险?

A:部署综合安全审计系统

B:对网络行为进行实时监控

C:制订完善的制度体系

D:聘用第三方专业公司提供维护外包服务

第34题(单选题)

对操作系统打补丁和系统升级是以下哪种风险控制措施?

A:降低风险

B:规避风险

C:转移风险

D:接受风险

第35题(单选题)

以下哪一项可认为是具有一定合理性的风险?

A:总风险

B:最小化风险

C:可接受风险

D:残余风险

第36题(单选题)

在风险管理工作中“监控审查”的目的,一是:________二是_________。

A:保证风险管理过程的有效性,保证风险管理成本的有效性

B:保证风险管理结果的有效性,保证风险管理成本的有效性

C:保证风险管理过程的有效性,保证风险管理活动的决定得到认可

D:保证风险管理结果的有效性,保证风险管理活动的决定得到认可

第37题(单选题)

风险管理四个步骤的正确顺序是:

A:背景建立、风险评估、风险处理、批准监督

B:背景建立、风险评估、审核批准、风险控制

C:风险评估、对象确立、审核批准、风险控制

D:风险评估、风险控制、对象确立、审核批准

第38题(单选题)

在风险管理的过程中,"建立背景"(即"对象确立")的过程是哪四个活动?

A:风险管理准备、信息系统调查、信息系统分析、信息安全分析

B:风险管理准备、信息系统分析、信息安全分析、风险政策的制定

C:风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析

D:确定对象、分析对象、审核对象、总结对象

第39题(单选题)

<p>下列对风险分析方法的描述正确的是:</p>

A:定量分析比定性分析方法使用的工具更多

B:定性分析比定量分析方法使用的工具更多

C:同一组织只能使用一种方法进行评估

D:符合组织要求的风险评估方法就是最优方法

第40题(单选题)

某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?

A:部门经理

B:高级管理层

C:信息资产所有者

D:最终用户

第41题(单选题)

<p>在一个有充分控制的信息处理计算中心中,下面哪一项可以由同一个人执行?</p>

A:安全管理和变更管理

B:计算机操作和系统开发

C:系统开发和变更管理

D:系统开发和系统维护

第42题(单选题)

以下关于“最小特权”安全管理原则理解正确的是:

A:组织机构内的敏感岗位不能由一个人长期负责

B:对重要的工作进行分解,分配给不同人员完成

C:一个人有且仅有其执行岗位所足够的许可和权限

D:防止员工由一个岗位变动到另一个岗位,累积越来越多的权限

第43题(单选题)

根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:

A:系统级演练、业务级演练、应用级演练

B:系统级演练、应用级演练、业务级演练

C:业务级演练、应用级演练、系统级演练

D:业务级演练、系统级演练、应用级演练

第44题(单选题)

以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?

A:组织机构内的敏感岗位不能由一个人长期负责

B:对重要的工作进行分解,分配给不同人员完成

C:一个人有且仅有其执行岗位所足够的许可和权限

D:防止员工由一个岗位变动到另一个岗位,累积越来越多的权限

第45题(单选题)

在构建一个单位的内部安全管理组织体系的时候,以下哪一项不是必需考虑的内容?

A:高级管理层承诺对安全工作的支持

B:要求雇员们遵从安全策略的指示

C:在第三方协议中强调安全

D:清晰地定义部门的岗位的职责

第46题(单选题)

灾难发生后,系统和数据必须恢复到灾难发生前的

A:时间要求

B:时间点要求

C:数据状态

D:运行状态

第47题(单选题)

当发现信息系统被攻击时,以下哪一项是首先应该做的?

A:切断所有可能导致入侵的通信线路

B:采取措施遏制攻击行为

C:判断哪些系统和数据遭到了破坏

D:与有关部门联系

第48题(单选题)

应急方法学定义了安全事件处理的流程,这个流程的顺序是:

A:准备-遏制-检测-根除-恢复-跟进

B:准备-检测-遏制-恢复-根除-跟进

C:准备-检测-遏制-根除-恢复-跟进

D:准备-遏制-根除-检测-恢复-跟进

第49题(单选题)

以下哪种情形下最适合使用同步数据备份策略?

A:对灾难的承受能力高

B:恢复时间目标(RTO)长

C:恢复点目标(RPO)短

D:恢复点目标(RPO)长

第50题(单选题)

<p>当备份一个应用程序系统的数据时,以下哪一项是应该首先考虑的关键性问题?</p>

A:什么时候进行备份?

B:在哪里进行备份?

C:怎样存储备份?

D:需要备份哪些数据?

第51题(单选题)

以下关于直接附加存储(Direct Attached Storage,DAS)说法错误的是:

A:DAS能够在服务器物理位置比较分散的情况下实现大容量存储,是一种常用的数据存储方法

B:DAS实现了操作系统与数据的分离,存取性能较高并且实施简单

C:DAS的缺点在于对服务器依赖性强,当服务器发生故障时,连接在服务器上的存储设备中的数据不能被存取

D:较网络附加存储(Network Attached Storage,NAS),DAS节省硬盘空间,数据非常集中,便于对数据进行管理和备份

第52题(单选题)

2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是:

A:电子签名——是指数据电文中以电子形式所含.所附用于识别签名人身份并表明签名人认可其中内容的数据

B:电子签名适用于民事活动中的合同或者其他文件.单证等文书

C:电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务

D:电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供者共有

第53题()

第54题(单选题)

关于软件安全开发生命周期(SDL),下面说法错误的是:

A:在软件开发的各个周期都要考虑安全因素

B:软件安全开发生命周期要综合采用技术.管理和工程等手段

C:测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本

D:在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本

第55题(单选题)

<p>SSE-CMM,即系统安全工程能力成熟度模型,它的六个级别,其中计划和跟踪级着重于_______。</p>

A:规范化地裁剪组织层面的过程定义

B:项目层面定义、计划和执行问题

C:测量

D:一个组织或项目执行了包含基本实施的过程

第56题(单选题)

数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是:

A:传输层、网络接口层、互联网络层

B:传输层、互联网络层、网络接口层

C:互联网络层、传输层、网络接口层

D:互联网络层、网络接口层、传输层

第57题(单选题)

账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?

A:分布式拒绝服务攻击(DDoS)

B:病毒传染

C:口令暴力破解

D:缓冲区溢出攻击

第58题(单选题)

某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是Windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:

A:在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中

B:严格设置Web日志权限,只有系统权限才能进行读和写等操作

C:对日志属性进行调整,加大日志文件大小,延长日志覆盖时间,设置记录更多信息等

D:使用独立的分区用于存储日志,并且保留足够大的日志空间

第59题(单选题)

<p>相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势?</p>

A:NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等问题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作

B:NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限

C:对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率

D:相比FAT文件系统,NTFS文件系统能有效的兼容Linux下EXT2文件格式

第60题(单选题)

以下对信息安全风险管理理解最准确的说法是:

A:了解风险

B:转移风险

C:了解风险并控制风险

D:了解风险并转移风险

第61题(单选题)

以下关于PGP(Pretty Good Privacy)软件叙述错误的是:

A:PGP可以实现对邮件的加密.签名和认证

B:PGP可以实现数据压缩

C:PGP可以对邮件进行分段和重组

D:PGP采用SHA算法加密邮件

第62题(单选题)

某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?

A:网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度

B:网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等

C:网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改

D:网站使用用户名.密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息

第63题(单选题)

<p>&ldquo;进不来&rdquo;&ldquo;拿不走&rdquo;&ldquo;看不懂&rdquo;&ldquo;改不了&rdquo;&ldquo;走不脱&rdquo;是网络信息安全建设的目的。其中,&ldquo;看不懂&rdquo;是指下面哪种安全服务:</p>

A:数据加密

B:身份认证

C:数据完整性

D:访问控制

第64题(单选题)

以下关于互联网协议安全(Internet Protocol Security,IPsec)协议说法错误的是:

A:在传送模式中,保护的是IP负载

B:验证头协议(Authentication Head,AH)和IP封装安全载荷协议(Encapsulating Security Payload,ESP)都能以传输模式和隧道模式工作

C:在隧道模式中,保护的是整个互联网协议(Internet Protocol,IP)包,包括IP头

D:IPsec仅能保证传输数据的可认证性和保密性

第65题(单选题)

某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则?

A:最小权限

B:权限分离

C:不信任

D:纵深防御

第66题(单选题)

某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是:

A:选购当前技术最先进的防火墙即可

B:选购任意一款品牌防火墙

C:任意选购一款价格合适的防火墙产品

D:选购一款同已有安全产品联动的防火墙

第67题(单选题)

风险管理中使用的控制措施,不包括以下哪种类型?

A:预防性控制措施

B:管理性控制措施

C:检查性控制措施

D:纠正性控制措施

第68题(单选题)

下面哪一项不是虚拟专用网络(VPN)协议标准:

A:第二层隧道协议(L2TP)

B:Internet安全性(IPSEC)

C:终端访问控制器访问控制系统(TACACS+)

D:点对点隧道协议(PPTP)

第69题(单选题)

风险管理中的控制措施不包括以下哪一方面?

A:行政

B:道德

C:技术

D:管理

第70题(单选题)

风险评估不包括以下哪个活动?

A:中断引入风险的活动

B:识别资产

C:识别威胁

D:分析风险

第71题(单选题)

在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:

A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C:完整性、可用性、机密性、不可抵赖性

D:以上都不正确

第72题(单选题)

以下哪一项不是信息安全风险分析过程中所要完成的工作:

A:识别用户

B:识别脆弱性

C:评估资产价值

D:计算机安全事件发生的可能性

第73题(单选题)

<p>以下关于ISO/IEC27001所应用的过程方法主要特点说法错误的是:</p>

A:理解组织的信息安全要求和建立信息安全方针与目标的标准

B:从组织整体业务风险的角度管理组织的信息安全风险

C:监视和评审ISMS的执行情况和有效性

D:基于主观测量的持续改进

第74题(单选题)

<p>关于外包的论述不正确的是:</p>

A:企业经营管理中的诸多操作服务都可以外包

B:通过业务外包,企业也把相应的风险承担者转移给了外包商,企业从此不必对外包业务负任何直接或间接的责任

C:虽然业务可以外包,但是对与外包业务的可能的不良后果,企业仍然承担责任

D:过多的外包业务可能产生额外的操作风险或其他隐患

第75题(单选题)

以下哪一项措施可最有效地支持24/7可用性?

A: 日常备份

B: 异地存储

C: 镜像

D: 定期测试

第76题(单选题)

企业最终决定直接采购商业化的软件包,而不是开发。那么,传统的软件开发生产周期(SDLC)中设计和开发阶段,就被置换为:

A:挑选和配置阶段

B:可行性研究和需求定义阶段

C:实施和测试阶段

D:(无,不需要置换)

第77题()

第78题(单选题)

<p>按照SSE-CMM,能力级别第三级是指:</p>

A:定量控制

B:计划和跟踪

C:持续改进

D:充分定义

第79题(单选题)

<p>以下对PDCA循环解释不正确的是:</p>

A:处理

B:实施

C:检查

D:行动

第80题(单选题)

<p>在SSE-CMM中对工程过程能力的评价分为三个层次,由宏观到微观依次是:</p>

A:能力级别-公共特征(CF)-通用实践(GP)

B:能力级别-通用实践-(GP)-公共特征(CF)

C:通用实践-(GP)-能力级别-公共特征(CF)

D:公共特征(CF)-能力级别-通用实践-(CP)

第81题(单选题)

<p>根据SSE-CMM,安全工程过程能力由低到高划分为:</p>

A:未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别

B:基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别

C:基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别

D:未实施、基本实施、计划跟踪、充分定义4个级别

第82题(单选题)

<p>下列哪项不是SSE-CMM模型中工程过程的过程区域?</p>

A:明确安全需求

B:评估影响

C:提供安全输入

D:协调安全

第83题(单选题)

<p>系统安全工程不包含以下哪个过程类:</p>

A:工程过程类

B:组织过程类

C:管理过程类

D:项目过程类

第84题(单选题)

ISSE(信息系统安全工程)是美国发布的IATF3.0版本中提出的设计和实施信息系统________。

A:安全工程方法

B:安全工程框架

C:安全工程体系结构

D:安全工程标准

第85题(单选题)

不同信息安全发展阶段,信息安全具有不同的的特征,在信息安全保障阶段信息安全的基本特征不包括:

A:具有高度复杂性和不能控制的特点

B:具有保护对象全生命周期安全要求的特征

C:具有多层次和多角度的体系化防御要求的特征

D:具有动态发展变化的特征

第86题(单选题)

信息安全工作具有投资收益的要求,以下关于信息安全与业务发展的关系说法最准确的是:

A:信息安全的投入很容易测算其产生收益的

B:信息安全为业务发展提供基础安全保障

C:信息安全与网络信息系统有着密切联系

D:信息安全的投入是不能测算其产生收益的

第87题(单选题)

PDR模型和P2DR模型采用了动态循环的机制实现系统保护、检测和响应。这种模型的特点理解错误的是:

A:模型已入了动态时间基线,符合信息安全发展理念

B:模型强调持续的保护和响应,符合相对安全理念

C:模型是基于人为的管理和控制而运行的

D:模型引入了多层防御机制,符合安全的“木桶原理”

第88题(单选题)

从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该:

A:内部实现

B:外部采购实现

C:合作实现

D:多来源合作实现

第89题(单选题)

在许多组织机构中,产生总体安全性问题的主要原因是:

A:缺少安全性管理

B:缺少故障管理

C:缺少风险分析

D:缺少技术控制机制

第90题(单选题)

如果对于程序变动的手工控制收效甚微,以下哪一种方法将是最有效的?

A:自动软件管理

B:书面化制度

C:书面化方案

D:书面化标准

第91题(单选题)

以下哪一项不是《信息安全事件分级分类指南》中信息安全事件分级需要参考的三个重要因素之一?

A:信息系统的重要程度

B:信息系统的用户数量

C:事件造成的系统损失

D:事件造成的社会影响

第92题(单选题)

依照《信息安全事件分级分类指南》中对信息安全事件分类的规定,以下哪一项属于有害程序事件?

A:信息被篡改

B:黄色反动信息传播

C:网络钓鱼

D:木马攻击

第93题(单选题)

在编制一个单位的信息安全响应计划时,以下哪一项的内容是最全面的?

A:角色与职责、预防和预警机制、应急响应流程、应急响应保障措施。

B:角色与职责、预防和预警机制、应急响应流程、应急响应联络措施。

C:应急组织架构、预防和预警机制、应急响应流程、人力保障、技术保障。

D:应急组织架构、事件检测机制、事件预警通报机制、应急响应流程、人力保障、技术保障。

第94题(单选题)

通常情况下,以下哪一种数据的更新变化频率最高,对备份系统的数据备份频率要求也最高?

A:业务应用数据

B:临时数据

C:基础数据

D:系统数据

第95题(单选题)

在进行灾难恢复需求分析的过程中,进行哪项工作可以帮助充分了解技术系统对业务重要性?

A:业务影响分析(BIA)

B:确定灾难恢复目标

C:制定灾难恢复策略

D:制定灾难恢复预案

第96题(单选题)

风险管理的监控与审查不包含:

A:过程质量管理

B:成本效益管理

C:跟踪系统自身或所处环境的变化

D:协调内外部组织机构风险管理活动

第97题(单选题)

衡量残余风险应当考虑的因素为:

A:威胁,风险,资产价值

B:威胁,资产价值,脆弱性

C:单次损失,年度发生率

D:威胁,脆弱性,资产价值,控制措施效果

第98题(单选题)

信息安全管理体系是基于( )的方法,来建立、实施、运作、监视、评审、保持和改进信息安全。

A:信息安全

B:业务风险

C:信息系统防护

D:安全风险

第99题(单选题)

信息系统安全保护等级为3级的系统,应当( )年进行一次等级测评。

A:0.5

B:1

C:2

D:3

第100题(单选题)

以下对访问许可描述不正确的是:

A:访问许可定义了改变访问模式的能力或向其他主体传送这种能力的能力

B:有主性访问许可是对每个客体设置一个拥有者,拥有者对其客体具有全部控制权限

C:等级型访问控制许可通常按照组织机构人员结构关系来设置主体对客体的控制权

D:有主性访问许可是对每个客体设置一个拥有者,但拥有者不是唯一有权修改客体访问控制表的主体