在DES算法中,需要进行16轮加密,每一轮的子密钥长度为()
A、16
B、32
C、48
D、64
答案:D、A、C、B、A
电信的岗位描述中都应明确包含安全职责,并形成正式文件记录在案,对于安全职责的描述应包括()。
A、落实安全政策的常规职责
B、执行具体安全程序或活动的特定职责
C、保护具体资产的特定职责
D、以上都对
在DES算法中,需要进行16轮加密,每一轮的子密钥长度为()
A、16
B、32
C、48
D、64
答案:D、A、C、B、A
电信的岗位描述中都应明确包含安全职责,并形成正式文件记录在案,对于安全职责的描述应包括()。
A、落实安全政策的常规职责
B、执行具体安全程序或活动的特定职责
C、保护具体资产的特定职责
D、以上都对
答案:D
终端安全管理目标:规范支撑系统中终端用户的行为,降低来自支撑系统终端的安全威胁,重点解决以下哪些问题?()。
A、终端接入和配置管理;终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理
B、终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理
C、终端接入和配置管理;桌面及主机设置管理;终端防病毒管理
D、终端接入和配置管理;终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理
答案:A
著名的橘皮书指的是()。
A、可信计算机系统评估标准(TCSEC)
B、信息安全技术评估标准(ITSEC)
C、美国联邦标准(FC)
D、通用准则(CC)
答案:A
资产的敏感性通常怎样进行划分?()
A、绝密、机密、敏感
B、机密、秘密、敏感和公开
C、绝密、机密、秘密、敏感和公开等五类
D、绝密、高度机密、秘密、敏感和公开等五类
答案:C
重要系统关键操作操作日志保存时间至少保存()个月。
A、1
B、2
C、3
D、4
答案:C
安全基线达标管理办法规定:BSS系统口令设置应遵循的内控要求是()
A、数字+字母
B、数字+字母+符号
C、数字+字母+字母大小写
D、数字+符号
答案:C
不属于安全策略所涉及的方面是()。
A、物理安全策略
B、访问控制策略
C、信息加密策略
D、防火墙策略
答案:D
“保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()。
A、“普密”、“商密”两个级别
B、“低级”和“高级”两个级别
C、“绝密”、“机密”、“秘密”三个级别
D、“一密”、“二密”,“三密”、“四密”四个级别
答案:C
对MBOSS系统所有资产每年至少进行()次安全漏洞自评估。
A、1
B、2
C、3
D、4
答案:A
下列情形之一的程序,不应当被认定为《刑法》规定的“计算机病毒等破坏性程序”的是:()。
A、能够盗取用户数据或者传播非法信息的
B、能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行复制、传播,并破坏计算机系统功能、数据或者应用程序的
C、能够在预先设定条件下自动触发,并破坏计算机系统功能、数据或者应用程序的
D、其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序
答案:A
电信各省级公司争取在1-3年内实现CTG-MBOSS 系统安全基线“达标”()级以上。
A、A级
B、B级
C、C级
D、D级
答案:C
下面对国家秘密定级和范围的描述中,哪项不符合《保守国家秘密法》要求?()
A、国家秘密和其密级的具体范围,由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关规定
B、各级国家机关、单位对所产生的秘密事项,应当按照国家秘密及其密级的具体范围的规定确定密级
C、对是否属于国家和属于何种密级不明确的事项,可有各单位自行参考国家要求确定和定级,然后国家保密工作部门备案
D、对是否属于国家和属于何种密级不明确的事项,由国家保密工作部门,省、自治区、直辖市的保密工作部门,省、自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定。
答案:C
获取支付结算、证劵交易、期货交易等网络金融服务的身份认证信息()组以上的可以被《刑法》认为是非法获取计算机信息系统系统认定的“情节严重”。
A、5
B、10
C、-15
D、20
答案:B
基准达标项满()分作为安全基线达标合格的必要条件。
A、50
B、60
C、70
D、80
答案:B
《国家保密法》对违法人员的量刑标准是()。
A、国家机关工作人员违法保护国家秘密的规定,故意或者过失泄露国家秘密,情节严重的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑
B、国家机关工作人员违法保护国家秘密的规定,故意或者过失泄露国家秘密,情节严重的,处四年以下有期徒刑或者拘役;情节特别严重的,处四年以上七年以下有期徒刑
C、国家机关工作人员违法保护国家秘密的规定,故意或者过失泄露国家秘密,情节严重的,处五年以下有期徒刑或者拘役;情节特别严重的,处五年以上七年以下有期徒刑
D、-国家机关工作人员违法保护国家秘密的规定,故意或者过失泄露国家秘密,情节严重,处七年以下有期徒刑或者拘役;情节特别严重的,处七年以下有期徒刑
答案:A
$HOME/.netrc文件包含下列哪种命令的自动登录信息?()
A、rsh
B、ssh
C、ftp
D、rlogin
答案:C
/etc/ftpuser文件中出现的账户的意义表示()。
A、该账户不可登录ftp
B、该账户可以登录ftp
C、没有关系
D、缺少
答案:A
按TCSEC标准,WinNT的安全级别是()。
A、C2
B、B2
C、C3
D、B1
答案:A
Linux系统/etc目录从功能上看相当于Windows的哪个目录?()
A、program files
B、Windows
C、system volume information
D、TEMP
答案:B
Linux系统格式化分区用哪个命令?()
A、fdisk
B、mv
C、mount
D、df
答案:A
在Unix系统中,当用ls命令列出文件属性时,如果显示-rwxrwxrwx,意思是()。
A、前三位rwx表示文件属主的访问权限;中间三位rwx表示文件同组用户的访问权限;后三位rwx表示其他用户的访问权限
B、前三位rwx表示文件同组用户的访问权限;中间三位rwx表示文件属主的访问权限;后三位rwx表示其他用户的访问权限
C、前三位rwx表示文件同域用户的访问权限;中间三位rwx表示文件属主的访问权限;后三位rwx表示其他用户的访问权限
D、前三位rwx表示文件属主的访问权限;中间三位rwx表示文件同组用户的访问权限;后三位rwx表示同域用户的访问权限
答案:A
Linux系统通过()命令给其他用户发消息。
A、less
B、mesg
C、write
D、echo to
答案:C
Linux中,向系统中某个特定用户发送信息,用什么命令?()
A、wall
B、write
C、mesg
D、net send
答案:B
防止系统对ping请求做出回应,正确的命令是:()。
A、echo 0>/proc/sys/net/ipv4/icmp_ehco_ignore_all
B、echo 0>/proc/sys/net/ipv4/tcp_syncookies
C、echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all
D、echo 1>/proc/sys/net/ipv4/tcp_syncookies
答案:C
NT/2K模型符合哪个安全级别?()
A、B2
B、C2
C、B1
D、C1
答案:B
Red Flag Linux指定域名服务器位置的文件是()。
A、etc/hosts
B、etc/networks
C、etc/rosolv.conf
D、/.profile
答案:C
Solaris操作系统下,下面哪个命令可以修改/n2kuser/.profile文件的属性为所有用户可读、科协、可执行?()
A、chmod 744 /n2kuser/.profile
B、 chmod 755 /n2kuser/.profile
C、 chmod 766 /n2kuser/.profile
D、 chmod 777 /n2kuser/.profile
答案:D
如何配置,使得用户从服务器A访问服务器B而无需输入密码?()
A、利用NIS同步用户的用户名和密码
B、在两台服务器上创建并配置/.rhost文件
C、在两台服务器上创建并配置$HOME/.netrc文件
D、在两台服务器上创建并配置/etc/hosts.equiv文件
答案:D
Solaris系统使用什么命令查看已有补丁列表?()
A、uname –an
B、showrev
C、oslevel –r
D、swlist –l product ‘PH??’
答案:C
Unix系统中存放每个用户信息的文件是()。
A、/sys/passwd
B、/sys/password
C、/etc/password
D、/etc/passwd
答案:D
Unix系统中的账号文件是()。
A、/etc/passwd
B、/etc/shadow
C、/etc/group
D、/etc/gshadow
答案:A
下面哪一项最好地描述了组织机构的安全策略?()
A、定义了访问控制需求的总体指导方针
B、建议了如何符合标准
C、表明管理意图的高层陈述
D、表明所使用的技术控制措施的高层陈述
答案:A
下面哪一种风险对电子商务系统来说是特殊的?()
A、服务中断
B、应用程序系统欺骗
C、未授权的信息泄露
D、确认信息发送错误
答案:D
下面有关我国标准化管理和组织机构的说法错误的是?()
A、国家标准化管理委员会是统一管理全国标准化工作的主管机构
B、国家标准化技术委员会承担国家标准的制定和修改工作
C、全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布
D、全国信息安全标准化技术委员负责统一协调信息安全国家标准年度技术项目
答案:C
项目管理是信息安全工程师基本理论,以下哪项对项目管理的理解是正确的?()
A、项目管理的基本要素是质量,进度和成本
B、项目管理的基本要素是范围,人力和沟通
C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织
D、项目管理是项目的管理者,在有限的资源约束下,运用系统的观点,方法和理论,对项目涉及的技术工作进行有效地管理
答案:A
信息安全的金三角是()。
A、可靠性,保密性和完整性
B、多样性,冗余性和模化性
C、保密性,完整性和可用性
D、多样性,保密性和完整性
答案:C
信息安全风险缺口是指()。
A、IT的发展与安全投入,安全意识和安全手段的不平衡
B、信息化中,信息不足产生的漏洞
C、计算机网络运行,维护的漏洞
D、计算中心的火灾隐患
答案:A
信息安全风险应该是以下哪些因素的函数?()
A、信息资产的价值、面临的威胁以及自身存在的脆弱性等
B、病毒、黑客、漏洞等
C、保密信息如国家密码、商业秘密等
D、网络、系统、应用的复杂的程度
答案:A
信息安全工程师监理的职责包括?()
A、质量控制,进度控制,成本控制,合同管理,信息管理和协调
B、质量控制,进度控制,成本控制,合同管理和协调
C、确定安全要求,认可设计方案,监视安全态势,建立保障证据和协调
D、确定安全要求,认可设计方案,监视安全态势和协调
答案:A
信息安全管理最关注的是?()
A、外部恶意攻击
B、病毒对PC的影响
C、内部恶意攻击
D、病毒对网络的影响
答案:C
信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的?()
A、信息的价值
B、信息的时效性
C、信息的存储方式
D、法律法规的规定
答案:C
信息网络安全的第三个时代是()
A、主机时代,专网时代,多网合一时代
B、主机时代,PC时代,网络时代
C、PC时代,网络时代,信息时代
D、2001年,2002年,2003年
答案:A
一个公司在制定信息安全体系框架时,下面哪一项是首要考虑和制定的?()
A、安全策略
B、安全标准
C、操作规程
D、安全基线
答案:A
以下哪个不属于信息安全的三要素之一?()
A、机密性
B、完整性
C、抗抵赖性
D、可用性
答案:C
以下哪一项安全目标在当前计算机系统安全建设中是最重要的?()
A、目标应该具体
B、目标应该清晰
C、目标应该是可实现的
D、目标应该进行良好的定义
答案:C
以下哪一项计算机安全程序的组成部分是其它组成部分的基础?()
A、制度和措施
B、漏洞分析
C、意外事故处理计划
D、采购计划
答案:A
以下哪一项是对信息系统经常不能满足用户需求的最好解释?()
A、没有适当的质量管理工具
B、经常变化的用户需求
C、用户参与需求挖掘不够
D、项目管理能力不强
答案:C
以下哪一种人给公司带来了最大的安全风险?()
A、临时工
B、咨询人员
C、以前的员工
D、当前的员工
答案:D
以下哪种安全模型未使用针对主客体的访问控制机制?()
A、基于角色模型
B、自主访问控制模型
C、信息流模型
D、强制访问控制模型
答案:C
以下哪种措施既可以起到保护的作用还能起到恢复的作用?()
A、对参观者进行登记
B、备份
C、实施业务持续性计划
D、口令
答案:C
以下哪种风险被定义为合理的风险?()
A、最小的风险
B、可接受风险
C、残余风险
D、总风险
答案:B
以下人员中,谁负有决定信息分类级别的责任?()
A、用户
B、数据所有者
C、审计员
D、安全官
答案:B
有三种基本的鉴别的方式:你知道什么,你有什么,以及()。
A、你需要什么
B、你看到什么
C、你是什么
D、你做什么
答案:C
在对一个企业进行信息安全体系建设中,下面哪种方法是最佳的?()
A、自下而上
B、自上而下
C、上下同时开展
D、以上都不正确
答案:B
在风险分析中,下列不属于软件资产的是()
A、计算机操作系统
B、网络操作系统
C、应用软件源代码
D、外来恶意代码
答案:D
在国家标准中,属于强制性标准的是:()
A、GB/T XXXX-X-200X
B、GB XXXX-200X
C、DBXX/T XXX-200X
D、QXXX-XXX-200X
答案:B
在任何情况下,一个组织应对公众和媒体公告其信息系统中发生的信息安全事件?()
A、当信息安全事件的负面影响扩展到本组织意外时
B、只要发生了安全事件就应当公告
C、只有公众的什么财产安全受到巨大危害时才公告
D、当信息安全事件平息之后
答案:A
在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则?()
A、标准(Standard)
B、安全策略(Security policy)
C、方针(Guideline)
D、流程(Proecdure)
答案:A
在信息安全管理工作中“符合性”的含义不包括哪一项?()
A、对法律法规的符合
B、对安全策略和标准的符合
C、对用户预期服务效果的符合
D、通过审计措施来验证符合情况
答案:C
在许多组织机构中,产生总体安全性问题的主要原因是()。
A、缺少安全性管理
B、缺少故障管理
C、缺少风险分析
D、缺少技术控制机制
答案:A
职责分离是信息安全管理的一个基本概念。其关键是权利不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背?()
A、数据安全管理员
B、数据安全分析员
C、系统审核员
D、系统程序员
答案:D
Chinese Wall 模型的设计宗旨是:()。
A、用户只能访问哪些与已经拥有的信息不冲突的信息
B、用户可以访问所有信息
C、用户可以访问所有已经选择的信息
D、用户不可以访问哪些没有选择的信息
答案:A
安全责任分配的基本原则是:()。
A、“三分靠技术,七分靠管理”
B、“七分靠技术,三分靠管理”
C、“谁主管,谁负责”
D、防火墙技术
答案:C
保证计算机信息运行的安全是计算机安全领域中最重要的环节之一,以下()不属于信息运行安全技术的范畴。
A、风险分析
B、审计跟踪技术
C、应急技术
D、防火墙技术
答案:B
从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该()。
A、内部实现
B、外部采购实现
C、合作实现
D、多来源合作实现
答案:A
从风险分析的观点来看,计算机系统的最主要弱点是()。
A、内部计算机处理
B、系统输入输出
C、通讯和网络
D、外部计算机处理
答案:B
从风险管理的角度,以下哪种方法不可取?()
A、接受风险
B、分散风险
C、转移风险
D、拖延风险
答案:D
当今IT的发展与安全投入,安全意识和安全手段之间形成()。
A、安全风险屏障
B、安全风险缺口
C、管理方式的变革
D、管理方式的缺口
答案:B
当为计算机资产定义保险覆盖率时,下列哪一项应该特别考虑?()。
A、已买的软件
B、定做的软件
C、硬件
D、数据
答案:D
当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在该系统重新上线前管理员不需查看:()
A、访问控制列表
B、系统服务配置情况
审计记录
D、用户账户和权限的设置
答案:C
根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行()。
A、逻辑隔离
B、物理隔离
C、安装防火墙
D、VLAN 划分
答案:B
根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?()
A、威胁、脆弱性
B、系统价值、风险
C、信息安全、系统服务安全
D、受侵害的客体、对客体造成侵害的程度业务
答案:D
公司应明确员工的雇佣条件和考察评价的方法与程序,减少因雇佣不当而产生的安全风险。人员考察的内容不包括()。
A、身份考验、来自组织和个人的品格鉴定
B、家庭背景情况调查
C、学历和履历的真实性和完整性
D、学术及专业资格
答案:B
计算机信息的实体安全包括环境安全、设备安全、()三个方面。
A运行安全
B、媒体安全
C、信息安全
D、人事安全
答案:B
目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所指定的规章制度?()
A、公安部
B、国家保密局
C、信息产业部
D、国家密码管理委员会办公室
答案:B
目前我国颁布实施的信息安全相关标准中,以下哪一个标准属于强制执行的标准?()
A、GB/T 18336-2001 信息技术安全性评估准则
B、GB 17859-1999 计算机信息系统安全保护等级划分准则
C、GB/T 9387.2-1995 信息处理系统开放系统互联安全体系结构
D、GA/T 391-2002 计算机信息系统安全等级保护管理要求
答案:B
确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,不为其所用,是指()。
A、完整性
B、可用性
C、保密性
D、抗抵赖性
答案:C
如果对于程序变动的手工控制收效甚微,以下哪一种方法将是最有效的?()
A、自动软件管理
B、书面化制度
C、书面化方案
D、书面化标准
答案:A
如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容?()
A、计算风险
B、选择合适的安全措施
C、实现安全措施
D、 接受残余风险
答案:A
软件供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。以下哪一项是这种情况面临的最主要风险?()
A、软件中止和黑客入侵
B、远程监控和远程维护
C、软件中止和远程监控
D、远程维护和黑客入侵
答案:A
管理审计指()
A、保证数据接收方收到的信息与发送方发送的信息完全一致
B、防止因数据被截获而造成的泄密
C、对用户和程序使用资源的情况进行记录和审查
D、保证信息使用者都可
答案:C
为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时下面哪一项是最好的方法?()
A、进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码
B、进行离职谈话,禁止员工账号,更改密码
C、让员工签署跨边界协议
D、列出员工在解聘前需要注意的所有责任
答案:A
为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?()
A、人际关系技能
B、项目管理技能
C、技术技能
D、沟通技能
答案:D
我国的国家秘密分为几级?()
A、3
B、4
C、5
D、6
答案:A
系统管理员属于()。
A、决策层
B、管理层
C、执行层
D、既可以划为管理层,又可以划为执行层
答案:C
下列哪一个说法是正确的?()
A、风险越大,越不需要保护
B、风险越小,越需要保护
C、风险越大,越需要保护
D、越是中等风险,越需要保护
答案:C
下面哪类访问控制模型是基于安全标签实现的?()
A、自主访问控制
B、强制访问控制
C、基于规则的访问控制
D、基于身份的访问控制
答案:B
下面哪项能够提供最佳安全认证功能?()
A、这个人拥有什么
B、这个人是什么并且知道什么
C、这个人是什么
D、这个人知道什么
答案:B
下面哪一个是国家推荐性标准?()
A、GB/T 18020-1999 应用级防火墙安全技术要求
B、SJ/T 30003-93 电子计算机机房施工及验收规范
C、GA243-2000 计算机病毒防治产品评级准则
D、ISO/IEC 15408-1999 信息技术安全性评估准则
答案:A
下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的?()
A、对安全违规的发现和验证是进行惩戒的重要前提
B、惩戒措施的一个重要意义在于它的威慑性
C、处于公平,进行惩戒时不应考虑员工是否是初犯,是否接受过培训
D、尽管法律诉讼是一种严厉有效的惩戒手段,但使用它时一定要十分慎重
答案:C
下面哪一项最好地描述了风险分析的目的?()
A、识别用于保护资产的责任义务和规章制度
B、识别资产以及保护资产所使用的技术控制措施
C、识别资产、脆落性并计算潜在的风险
D、识别同责任义务有直接关系的威胁
答案:C
以下哪项不属于信息社会的重要特征? ()
A、信息资源是核心资源
B、知识成为社会发展的巨大资源
C、文化模式日趋虚拟化、单一性
D、社会生活逐步计算机化、自动化
答案:C
系统发生故障,以下记录方法中哪像是正确的()
A、需要完善准确记录
B、可记录,也可不记录
C、无需记录
D、随便记录,不需详细记录
答案:A
以下哪项不属于电子政务的特点? ()
A、电子政务有助于实现政府行政流程的集约化、标准化和高效化
B、电子政务的实施将使政府的每一项业务不需要人的干预而自动完成
C、电子政务将打破政府部门之间的界限
D、电子政务有利于政府各部门之间信息共享
答案:B
电子政务对提高政府决策水平具有重要意义,以下哪项描述不正确? ()
A、促进决策的科学化和民主化
B、减少决策的盲目性
C、提高决策的时效性
D、可完全替代人工决策
答案:D
关于电子政府与传统政府的区别以下哪项描述不正确? ()
A、虚拟性
B、分权
C、扁平化结构
D、服务职能弱化
答案:D
电子政务实施的物质基础是( )。
A、计算机软、硬件设备
B、计算机网络技术
C、数据库
D、办公自动化技术
答案:A
上下级政府、不同地方政府、不同政府部门之间的电子政务,称之为电子政务的( )方式。
A、GtoG
B、GtoB
C、GtoC
D、GtoE
答案:A
政府通过电子网络系统为公众提供各种服务的方式,称之为电子政务的( )方式。
A、GtoG
B、GtoB
C、GtoC
D、GtoE
答案:C
电子政务与电子商务相比?()
A、电子政务与电子商务一样
B、电子政务超过电子商务
C、电子政务落后于电子商务
D、电子政务与电子商务没有差距
答案:C
下列关于政务内网和外网的关系,哪项描述是不准确的? ()
A、两者适用级别不同
B、两者对安全要求的级别不同
C、两者主要服务的对象不同
D、两者是完全独立的
答案:D
以下哪项属于政务外网运行的政府业务? ()
A、辅助决策
B、网上审批
C、办公自动化
D、网络安全
答案:B
以下选项中,哪个不属于网民? ()
A、12岁上网的小孩
B、网吧上网的管理员
C、在的外籍互联网工作人员
D、80岁没用过电脑的老年人
答案:D
以下关于目前我国电子政务立法特点的描述哪项不正确? ()
A、信息化标准及信息基础设施立法是我国当前电子政务立法的主体
B、基本杜绝了各自为政的局面,不需要部门协调
C、行政性电子政务立法相对成熟,但面向公众开放部分的立法基本空白
D、我国电子政务立法还处于初级阶段
答案:B
信息分析的本质( )。
A、扩大生产规模
B、增加人民收入
C、为领导提供决策
D、满足用户的信息要求
答案:D
市场体系的重要组成部分是( )。
A、信息市场
B、金融市场
C、劳动力市场
D、房地产市场
答案:A
信息化能力建设包括( )两个方面内容。
A、投入和产出
B、硬件和软件
C、动态和静态
D、劳动投入量
答案:B
教育信息资源的开发和利用是( )的基本内容是教育信息化建设取得实效的关键。
A、教育信息化
B、信息化建设
C、电子商务
D、专业技术
答案:A
信息化指数是反应( )的总指标。
A、信息装备率
B、通信主体水平
C、信息系数
D、社会经济信息化
答案:D
信息产业的重要特征是( )。
A、高风险型产业
B、知识能力密集型产业
C、高回报型产业
D、搞创新型产业
答案:B
不是信息检索类型新分类的是( )。
A、文献检索
B、文本检索
C、数值检索
D、音/视频检索
答案:A
信息分析的特点是( )。
A、针对性、交流性、科学性、推象性、近似性、局限性
B、针对性、交流性、科学性、近似性、局限性
C、针对性、交流性、具体性、近似性、局限性
D、针对性、交流性、透明性、近似性、局限性
答案:A
专家调查法的常见种类( )。
A、法尔菲法、头脑风暴法、比较法、推理法
B、法尔菲法、头脑风暴法、交叉影响分析法、层次分析法
C、法尔菲法、交叉影响分析法、比较法、推理法
D、法尔菲法、头脑风暴法、比较法、层次分析法
答案:B
信息系统开发一般不包括以下哪个阶段()
A、系统分析
B、系统设计
C、系统实施
D、系统维护
答案:D
市场恒古不变的主题是( )。
A、降低成本
B、增加成本
C、扩大市场
D、缩小市场
答案:A
( )是企业在信息时代市场竞争中生存和立足的根本。
A、人才优势
B、原材料优势
C、经营方式优势
D、信息优势
答案:D
许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞,对于这一威胁,最可靠的解决方案是什么?()
A、安装防火墙
B、安装入侵检测系统
C、给系统安装最新的补丁
D、安装防病毒软件
答案:C
下面哪个功能属于操作系统中的安全功能()
A、控制用户的作业排序和运行
B、实现主机和外设的并行处理以及异常情况的处理
C、保护系统程序和作业,禁止不合要求的对程序和数据的访问
D、对计算机用户访问系统和资源的情况进行记录
答案:C
下面哪个功能属于操作系统中的日志记录功能()
A、控制用户的作业排序和运行
B、以合理的方式处理错误事件,而不至于影响其他程序的正常运行
C、保护系统程序和作业,禁止不合要求的对程序和数据的访问
D、对计算机用户访问系统和资源的情况进行记录
答案:D
WindowsNT提供的分布式安全环境又被称为()
A、域(Domain)
B、工作组
C、对等网
D、安全网
答案:A
下面哪一个情景属于身份验证(Authentication)过程()
A、用户依照系统提示输入用户名和口令
B、用户在网络上共享了自己编写的一份Office文档,并设定哪些用户可以阅读,哪些用户可以修改
C、用户使用加密软件对自己编写的Office文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容
D、某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程纪录在系统日志中
答案:A
下面哪一个情景属于授权(Authorization)()
A、用户依照系统提示输入用户名和口令
B、用户在网络上共享了自己编写的一份Office文档,并设定哪些用户可以阅读,哪些用户可以修改
C、用户使用加密软件对自己编写的Office文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容
D、某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程纪录在系统日志中
答案:B
下面哪一个情景属于审计(Audit)()
A、用户依照系统提示输入用户名和口令
B、用户在网络上共享了自己编写的一份Office文档,并设定哪些用户可以阅读,哪些用户可以修改
C、用户使用加密软件对自己编写的Office文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容
D、某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程纪录在系统日志中
答案:D
以网络为本的知识文明人们所关心的主要安全是()
A、人身安全
B、社会安全
C、信息安全
答案:C
第一次出现"HACKER"这个词是在()
A、BELL实验室
B、麻省理工AI实验室
C、AT&T实验室
答案:B
黑客的主要攻击手段包括()
A、社会工程攻击、蛮力攻击和技术攻击
B、人类工程攻击、武力攻击及技术攻击
C、社会工程攻击、系统攻击及技术攻击
答案:A
从统计的情况看,造成危害最大的黑客攻击是()
A、漏洞攻击
B、蠕虫攻击
C、病毒攻击
答案:C
第一个计算机病毒出现在()
A、40年代
B、70年代
C、90年代
答案:B
口令攻击的主要目的是()
A、获取口令破坏系统
B、获取口令进入系统
C、仅获取口令没有用途
答案:B
通过口令使用习惯调查发现有大约___%的人使用的口令长度低于5个字符的()
A、50.5
B、51.5
C、52.5
答案:B
使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型?()
A、拒绝服务
B、文件共享
C、BIND漏洞
D、远程过程调用
答案:A
为了防御网络监听,最常用的方法是()
A、采用物理传输(非网络)
B、信息加密
C、无线网
D、使用专线传输
答案:B
向有限的空间输入超长的字符串是哪一种攻击手段?()
A、缓冲区溢出
B、网络监听
C、拒绝服务
D、IP欺骗
答案:A
主要用于加密机制的协议是()
A、HTTP
B、FTP
C、TELNET
D、SSL
答案:D
用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?()
A、缓存溢出攻击
B、钓鱼攻击
C、暗门攻击;
D、DDOS攻击
答案:B
WindowsNT和Windows2000系统能设置为在几次无效登录后锁定帐号,这可以防止()
A、木马
B、暴力攻击
C、IP欺骗;
D、缓存溢出攻击
答案:B
在以下认证方式中,最常用的认证方式是:()
A、基于账户名/口令认证
B、基于摘要算法认证;
C、基于PKI认证;
D、基于数据库认证
答案:A
以下哪项不属于防止口令猜测的措施?()
A、严格限定从一个给定的终端进行非法认证的次数;
B、确保口令不在终端上再现;
C、防止用户使用太短的口令;
D、使用机器产生的口令
答案:B
下列不属于系统安全的技术是()
A、防火墙
B、加密狗
C、认证
D、防病毒
答案:B
抵御电子邮箱入侵措施中,不正确的是()
A、不用生日做密码
B、不要使用少于5位的密码
C、不要使用纯数字
D、自己做服务器
答案:D
不属于常见的危险密码是()
A、跟用户名相同的密码
B、使用生日作为密码
C、只有4位数的密码
D、10位的综合型密码
答案:D
不属于计算机病毒防治的策略的是()
A.确认您手头常备一张真正“干净”的引导盘
B.及时、可靠升级反病毒产品
C.新购置的计算机软件也要进行病毒检测
D.整理磁盘
答案:D
在每天下午5点使用计算机结束时断开终端的连接属于()
A、外部终端的物理安全
B、通信线的物理安全
C、窃听数据
D、网络地址欺骗
答案:A
2003年上半年发生的较有影响的计算机及网络病毒是什么()
A、SARS
B、SQL杀手蠕虫
C、手机病毒
D、小球病毒
答案:B
当今IT的发展与安全投入,安全意识和安全手段之间形成()
A、安全风险屏障
B、安全风险缺口
C、管理方式的变革
D、管理方式的缺口
答案:B
我国的计算机年犯罪率的增长是()
A、10%
B、160%
C、60%
D、300%
答案:C
信息安全风险缺口是指()
A、IT的发展与安全投入,安全意识和安全手段的不平衡
B、信息化中,信息不足产生的漏洞
C、计算机网络运行,维护的漏洞
D、计算中心的火灾隐患
答案:A
信息网络安全的第一个时代()
九十年代中叶
B、九十年代中叶前
C、世纪之交
D、专网时代
答案:B
信息网络安全的第三个时代()
A、主机时代,专网时代,多网合一时代
B、主机时代,PC机时代,网络时代
C、PC机时代,网络时代,信息时代
D、2001年,2002年,2003年
答案:A
信息网络安全的第二个时代()
A、专网时代
B、九十年代中叶前
C、世纪之交
答案:A
网络安全在多网合一时代的脆弱性体现在()
A、网络的脆弱性
B、软件的脆弱性
C、管理的脆弱性
D、应用的脆弱性
答案:C
人对网络的依赖性最高的时代()
A、专网时代
B、PC时代
C、多网合一时代
D、主机时代
答案:C
网络攻击与防御处于不对称状态是因为()
A、管理的脆弱性
B、应用的脆弱性
C、网络软,硬件的复杂性
D、软件的脆弱性
答案:C
网络攻击的种类()
A、物理攻击,语法攻击,语义攻击
B、黑客攻击,病毒攻击
C、硬件攻击,软件攻击
D、物理攻击,黑客攻击,病毒攻击
答案:A
1995年之后信息网络安全问题就是()
A、风险管理
B、访问控制
C、消除风险
D、回避风险
答案:A
PDR模型与访问控制的主要区别()
A、PDR把安全对象看作一个整体
B、PDR作为系统保护的第一道防线
C、PDR采用定性评估与定量评估相结合
D、PDR的关键因素是人
答案:A
信息安全中PDR模型的关键因素是()
A、人
B、技术
C、模型
D、客体
答案:A
计算机网络最早出现在哪个年代()
A、20世纪50年代
B、20世纪60年代
C、20世纪80年代
D、20世纪90年代
答案:B
最早研究计算机网络的目的是什么?
A、直接的个人通信;
B、共享硬盘空间、打印机等设备
C、共享计算资源
D、大量的数据交换。
答案:C
最早的计算机网络与传统的通信网络最大的区别是什么?()
A、计算机网络带宽和速度大大提高。
B、计算机网络采用了分组交换技术。
C、计算机网络采用了电路交换技术
D、计算机网络的可靠性大大提高。
答案:B
关于80年代Mirros蠕虫危害的描述,哪句话是错误的?()
A、该蠕虫利用Unix系统上的漏洞传播
B、窃取用户的机密信息,破坏计算机数据文件
C、占用了大量的计算机处理器的时间,导致拒绝服务
D、大量的流量堵塞了网络,导致网络瘫痪
答案:B
以下关于DOS攻击的描述,哪句话是正确的?()
A、不需要侵入受攻击的系统
B、以窃取目标系统上的机密信息为目的
C、导致目标系统无法处理正常用户的请求
D、如果目标系统没有漏洞,远程攻击就不可能成功
答案:C
全球最大网络设备供应商是()
A.华为
B.H3C
C.思科
D.中兴
答案:C
国际电信联盟将每年的5月17日确立为世界电信日,今年已经是第38届。今年世界电信日的主题为()
A、“让全球网络更安全”
B、“信息通信技术:实现可持续发展的途径”
C、“行动起来创建公平的信息社会”
答案:A
信息产业部将以世界电信日主题纪念活动为契机,广泛进行宣传和引导,进一步增强电信行业和全社会的_____不意识。
A、国家安全
B、网络与信息安全
C、公共安全
答案:B
为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,_____电子邮件服务器匿名转发功能。
A、使用
B、开启
C、关闭D、有偿使用
答案:A
为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,_____电子邮件服务器匿名转发功能。
A、使用
B、开启
C、关闭D、有偿使用
答案:A
为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,_____电子邮件服务器匿名转发功能。
A、使用
B、开启
C、关闭D、有偿使用
答案:B
为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,_____电子邮件服务器匿名转发功能。
A、使用
B、开启
C、关闭D、有偿使用
答案:C
为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,_____电子邮件服务器匿名转发功能。
A、使用
B、开启
C、关闭D、有偿使用
答案:A
为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,_____电子邮件服务器匿名转发功能。
A、使用
B、开启
C、关闭D、有偿使用
答案:C
为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,_____电子邮件服务器匿名转发功能。
A、使用
B、开启
C、关闭D、有偿使用
答案:A
为了依法加强对通信短信息服务和使用行为的监管,信息产业部和有关部门正在联合制定_____。
A、《通信服务管理办法》
B、《通信短信息服务管理规定》
C、《短信息管理条例》
答案:B
为了从源头上治理利用电话、手机发送诈骗、淫秽色情等各种不良和违法信息的行为,保护广大用户的合法权益,信息产业部和有关部门正在推动_____工作。
A、电话用户实名制
B、畅通网络
C、“黑手机”整治
答案:A
短信息服务提供商在开展信息订阅、短信竞猜、铃声下载等业务经营活动时,不得进行____。
A、欺诈订制
B、有偿服务
C、手机代收费
答案:A
如果您发现自己被手机短信或互联网站上的信息诈骗后,应当及时向报案,_____以查处诈骗者,挽回经济损失。
A、消费者协会
B、电信监管机构
C、公安机关
答案:C
当您发现因短信欺诈订制被扣除信息费时,可以向相关电信运营企业投诉;投诉未果,可进一步向申诉_____。
A、信息产业部或各地电信用户申诉受理中心(12300)
B、通信企业协会
C、互联网协会
答案:A
为了方便用户记忆使用、便于短信息服务提供商推广业务以及便于社会和政府监督短信息服务提供商的经营行为,作为“阳光绿色网络工程”中的一项工作,信息产业部将统一短信息服务提供商在不同移动运营企业的。()
A、服务内容
B、服务代码
C、宣传方式
答案:B
绿色上网软件可以自动过滤或屏蔽互联网上的____,保护青少年健康成长。
A、网络游戏
B、网络聊天信息
C、淫秽色情信息
答案:C
绿色上网软件可以安装在家庭和学校的_____上。
A、电视机
B、个人电脑
C、电话
答案:B
信息产业部将会同中央精神文明办公室、共青团中央、教育部等部门在科学评测的基础上,向社会_____一批优秀的绿色上网软件。
A、推销
B、赠送
C、推荐
答案:C
计算机病毒是一种破坏计算机功能或者毁坏计算机中所存储数据的_____。
A、程序代码
B、微生物病菌
C、计算机专家
答案:A
通常意义上的网络黑客是指通过互联网利用非正常手段_____。
A、上网的人
B、入侵他人计算机系统的
C、在网络上行骗的人
答案:B
网络蠕虫一般指利用计算机系统漏洞、通过互联网传播扩散的一类病毒程序,为了防止受到网络蠕虫的侵害,应当注意对_____进行升级更新。
A、计算机操作系统
B、计算机硬件
C、文字处理软件
答案:A
为了有效抵御网络黑客攻击,可以采用_____作为安全防御措施。
A、绿色上网软件
B、杀病毒软件
C、防火墙
答案:C
为了防止各种各样的病毒对计算机系统造成危害,可以在计算机上安装防病毒软件,并注意及时_____,以保证能防止和查杀新近出现的病毒。
A、升级
B、分析
C、检查
答案:A
《电信条例》规定,在公共信息服务中,电信业务经营者发现电信网络中传输的信息明显包含违法内容时,应当立即,保存有关记录并_____,并向国家有关机关报告。
A、停止传输
B、中断网络
C、跟踪调查
答案:A
《互联网信息服务管理办法》规定,互联网信息服务提供者(网站)不得制作、复制、发布、传播、迷信、赌博、暴力、恐怖_____等违法有害信息。
A、淫秽色情
B、商业广告
C、新闻信息
答案:A
木马程序一般是指潜藏在用户电脑中带有恶意性质的,利用_____可以在用户不知情的情况下窃取用户联网电脑上的重要数据信息。
A、远程控制软件
B、计算机操作系统
C、木头做的马
答案:A
按照《互联网信息服务管理办法》,从事经营性互联网信息服务,除应当符合《电信条例》规定的要求外,还应当有健全_____的保障措施。
A、防火安全
B、保安
C、网络与信息安全
答案:C
《非经营性互联网信息服务备案管理办法》规定,互联网接入服务提供者(ISP)不得为未经备案的组织或个人从事非经营性互联网信息服务提供_____。
A、电子邮件服务
B、互联网接入服务
C、代为备案服务
答案:B
按照《互联网电子公告服务管理规定》,任何人不得在互联网上的电子布告牌(BBS)、电子白板、电子论坛、_____、留言板等电子公告服务系统中发布淫秽、色情、赌博、暴力、恐怖等违法有害信息。
A、网站
B、网络聊天室
C、电子邮箱
答案:B
关于数据库安全的说法错误的是?()
A.数据库系统的安全性很大程度上依赖于DBMS的安全机制
B.许多数据库系统在操作系统一下文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件
C.为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段
D.数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护
答案:C
关于木马技术说法错误的是:()
A.“木马”这一名词来源于《荷马史诗》中记载的特洛伊战争
B.木马的一个主要特点是它的隐蔽性
C.木马技术与ROOTKIT技术的结合某种意义上代表了当代木马技术的发展
D.如果发现了一个木马进程,清除它的第一步是清除木马启动
答案:D
下面关于计算机恶意代码发展趋势的说法错误的是:()
A.木马和病毒盗窃日益猖獗
B.利用病毒犯罪的组织性和趋利性增加
C.综合利用多种编程新技术、对抗性不断增加
D.复合型病毒减少,而自我保护功能增加
答案:D
关于网页中的恶意代码,下列说法错误的是:()
A.网页中的恶意代码只能通过IE浏览器发挥作用
B.网页中恶意代码可以修改系统注册表
C.网页中的恶意代码可以修改系统文件
D.网页中的恶意代码可以窃取用户的机密性文件
答案:A
下面对于“电子邮件炸弹”的解释最准确的是:()
A.邮件正文中包含的恶意网站链接
B.邮件附件中具有强破坏性的病毒
C.社会工程的一种方式,具有恐吓内容的邮件
D.在短时间内发送大量邮件软件,可以造成目标邮箱爆满
答案:D
以下哪一项是常见Web站点脆弱性扫描工具:()
A.Sniffer
B.Nmap
C.Appscan
D.LC
答案:C
下面哪一项不是安全编程的原则()
A.尽可能使用高级语言进行编程
B.尽可能让程序只实现需要的功能
C.不要信任用户输入的数据
D.尽可能考虑到意外的情况,并设计妥善的处理方法
答案:A
黑客进行攻击的最后一个步骤是:()
A.侦查与信息收集
B.漏洞分析与目标选定
C.获取系统权限
D.打扫战场、清楚证据
答案:D
下面哪一项是缓冲溢出的危害?()
A.可能导致shellcode的执行而非法获取权限,破坏系统的保密性
B.执行shellcode后可能进行非法控制,破坏系统的完整性
C.可能导致拒绝服务攻击,破坏系统的可用性
D.以上都是
答案:D
以下哪一项是DOS攻击的一个实例()
A.SQL注入
B.IP Spoof
C.Smurf攻击
D.字典破解
答案:C
以下对于蠕虫病毒的错误说法是()
A.通常蠕虫的传播无需用户的操作
B.蠕虫病毒的主要危害体现在对数据保密的破坏
C.蠕虫的工作原理与病毒相似,除了没有感染文件
D.是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统
答案:B
以下哪一项不是跨站脚本攻击?()
A.给网站挂马
B.盗取COOKIE
C.伪造页面信息
D.暴力破解密码
答案:D
对能力成熟度模型解释最准确的是?()
A.它认为组织的能力依赖与严格定义,管理完善,可测可控的有效业务过程。
B. 它通过严格考察工程成果来判断工程能力。
C.它与统计过程控制的理论出发点不同,所以应用于不同领域。
D.它是随着信息安全的发展而诞生的重要概念。
答案:A
一个单位在处理一台储存过高密级信息的计算机是首先应该做什么?()
A.将硬盘的每一个比特写成“O”
B.将硬盘彻底毁坏
C.选择秘密信息进行删除
D.进行低级格式化
答案:C
变更控制是信息系统运行管理的重要的内容,在变更控制的过程中:()
A.应该尽量追求效率,而没有任何的程序和核查的阻碍。
B.应该将重点放在风险发生后的纠正措施上。
C.应该很好的定义和实施风险规避的措施。
D.如果是公司领导要求的,对变更过程不需要追踪和审查
答案:C
在信息系统的开发和维护过程中,以下哪一种做法是不应该被赞成的()
A.在购买软件包后,依靠本单位的技术力量对软件包进行修改,加强代码的安全性。
B.当操作系统变更后,对业务应用系统进行测试和评审。
C.在需要是对操作文档和用户守则进行适当的修改。
D.在安装委外开发的软件前进行恶意代码检测。
答案:B
对于信息系统访问控制说法错误的是?()
A.应该根据业务需求和安全要求制定清晰的访问控制策略,并根据需要进行评审和改进。
B.网络访问控制是访问控制的重中之重,网络访问控制做好了操作系统和应用层次的访问控制就会解决
C.做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控制中的有关责任
D.移动计算和远程工作技术的广泛应用给访问控制带来新的问题,因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施
答案:B
对程序源代码进行访问控制管理时,以下那种做法是错误的?()
A.若有可能,在实际生产系统中不保留源程序库。
B.对源程序库的访问进行严格的审计
C.技术支持人员应可以不受限制的访问源程序
D.对源程序库的拷贝应受到严格的控制规程的制约
答案:C
目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是?()
A.数据库系统庞大会提高管理成本
B.数据库系统庞大会降低管理效率
C.数据的集中会降低风险的可控性
D. 数据的集中会造成风险的集中
答案:D
管理者何时可以根据风险分析结果对已识别风险不采取措施()
A.当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时
B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制范围之内时
D.不可接受
答案:A
在风险评估中进行定量的后果分析时,如果采用年度风险损失值的方法进行计算,应当使用一下哪个公式?()
A.SLE(单次损失预期值)x ARO(年度发生率)
B.ARO(年度发生率)x EF(暴露因子)
C.SLE(单次损失预期值)x EF(暴露因子) x ARO(年度发生率)
D.SLE(单次损失预期值)x ARO(年度发生率)—EF(暴露因子)
答案:A
风险管理的重点:()
A.将风险降低到可以接受的程度
B.不计代价的降低风险
C.将风险转移给第三方
D.惩罚违反安全策略规定的雇员
答案:A
风险评估按照评估者的不同可以分为自评估和第三方评估,这两种评估方式最本质的差别是什么?()
A.评估结果的客观性
B.评估工具的专业程度
C.评估人员的技术能力
D.评估报告的形式
答案:A
以下关于风险管理的描述不正确的是?()
A.风险的四种控制方法有:减低风险/转嫁风险/规避风险/接受风险
B.信息安全风险管理是否成功在于发现是否切实被消除了
C.组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全
D.信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别多少或消除的过程。
答案:B
从风险分析的观点来看,计算机系统的最主要安全脆弱性存在于——()
A.计算机内部处理
B.系统输入输出
C.网络和通讯
D.数据存储介质
答案:B
以下选项中那一项是对信息安全风险采取的纠正机制?()
A.访问控制
B.入侵检测
C.灾难恢复
D.防病毒系统
答案:C
下面哪一项最准确的阐述了安全检测措施和安全审计之间的区别?()
A.审计措施不能自动执行,而检测措施可以自动执行
B.检测措施不能自动执行,而审计措施可以自动执行
C.审计措施是一次性的或周期性的进行,而检测措施是实时的进行
D.检测措施是一次性的或周期性的进行,而审计措施是实时的进行
答案:C
下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:()
A.设置网络连接时限
B.记录并分析系统错误日志
C.记录并分析用户和管理员日志
D.时钟同步
答案:D
信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的?()
A.信息的价值
B.信息的时效性
C.信息的存储
D.法律法规的规定
答案:C
下面关于ISO27002说法错误的是?()
A.ISO27002前身是ISO17799—1
B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部
C.ISO27002对于每个控制措施的表述分:“控制措施、实施指南和其他信息”三个部分来进行描述
D.ISO27002提出了十一大类安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施?
答案:D
信安标委中哪个小组负责信息安全管理工作?()
A、WG1
B、WG5
C、WG7
答案:C
信安标委中哪个小组负责信息安全管理工作?()
A、WG1
B、WG5
C、WG7
答案:C
信安标委中哪个小组负责信息安全管理工作?()
A、WG1
B、WG5
C、WG7
答案:C
信安标委中哪个小组负责信息安全管理工作?()
A、WG1
B、WG5
C、WG7
答案:C
下面关于信息安全保障的说法正确的是:()
A.信息安全保障的概念是与信息安全的概念同时产生的
B.信息系统安全保障要素包括信息的完整性、可用性和保密性
C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段
D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施 在系统的生命周期内确保信息的安全属性
答案:D
根据《 GB / T20274 信息安全保障评估框架》 ,对信息系统安全保障能力进行评估应()
A.信息安全管理和信息安全技术2 个方面进行
B.信息安全管理、信息安全技术和信息安全工程3 个方面进行
C.信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行
D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进行
答案:C
对于信息安全发展历史描述正确的是:()
A.信息安全的概念是随着计算机技术的广泛应用而诞生的
B.目前信息安全己经发展到计算机安全的阶段
C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人员同样是促进 系统安全性的重要因素
D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”,再到“信息 安全”,直至现在的“信息安全保障”
答案:C
ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务()
A.加密
B.数字签名
C.访问控制
D.路由控制
答案:B
以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性()
A.ITSEC
B.TCSEC
C.GB/T9387.2
D.彩虹系列的橙皮书
答案:A
下面对于CC 的“保护轮廓”( PP )的说法最准确的是:()
A.对系统防护强度的描述
B.对评估对象系统进行规范化的描述
C.对一类TOE 的安全需求,进行与技术实现无关的描述
D.由一系列保证组件构成的包,可以代表预先定义的保证尺度
答案:C
下面对于强制访问控制的说法错误的是?()
A.它可以用来实现完整性保护,也可以用来实现机密性保护
B.在强制访问控制的系统中,用户只能定义客体的安全属性
C.它在军方和政府等安全要求很高的地方应用较多
D.它的缺点是使用中的便利性比较低
答案:B
以下哪两个安全模型分别是多级完整性模型和多边保密模型?()
A.Biba 模型和Bell一Lapadula 模型
B.Bell 一Lapaduia 模型和Biba 模型
C.Chinese Wall 模型和Bell 一Lapadula 模型
D.Biba 模型和Chinese Wall 模型
答案:D
在一个使用Chinese Wall 模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个兴趣冲突域中,那么可以确定一个新注册的用户:()
A.只有访问了W之后,才可以访问X
B.只有访问了W之后,才可以访问Y和Z中的一个
C.无论是否访问W,都只能访问Y和Z中的一个
D.无论是否访问W,都不能访问Y或Z
答案:C
BMA访问控制模型是基于()
A.健康服务网络
B.ARPANET
C.ISP
D.INTERNET
答案:A
下面关于密码算法的说法错误的是?()
A.分组密码又称作块加密
B.流密码又称作序列密码
C.DES算法采用的是流密码
D.序列密码每次加密一位或一个字节的明文
答案:C
下面对于SSH的说法错误的是?()
A.SSH是Secure Shell的简称
B.客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证
C.通常Linux操作系统会在/usr/local目录下默认安装OpenSSH
D.SSH2比SSH1更安全
答案:B
下面对于标识和鉴别的解释最准确的是:()
A.标识用于区别不同的用户,而鉴别用于验证用户身份的真实性
B.标识用于区别不同的用户,而鉴别用于赋予用户权限
C.标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性
D.标识用于保证用户信息的完整性,而鉴别用于赋予用户权限
答案:A
指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:()
A.你是什么
B.你有什么
C.你知道什么
D.你做了什么
答案:A
安全审计是对系统活动和记录的独立检查和验证,以下哪一项不是审计系统的()
A.辅助辨识和分析未经授权的活动或攻击
B.对与己建立的安全策略的一致性进行核查
C.及时阻断违反安全策略的访问
D.帮助发现需要改进的安全控制措施
答案:C
以下哪一项属于物理安全方面的管理控制措施?()
A.照明
B.护柱
C.培训
D.建筑设施的材料
答案:C
以下哪种不是火灾探测器类型:()
A.电离型烟传感器
B.光电传感器
C.声学震动探测系统
D.温度传感器
答案:C
以下关于事故的征兆和预兆说法不正确的是:()
A.预兆是事故可能在将来出现的标志
B.征兆是事故可能己经发生或正在发生的标志
C.预兆和征兆的来源包括网络和主机IDS 、防病毒软件、系统和网络日志
D.所有事故的预兆和征兆都是可以发现的
答案:D
组织机构应根据事故类型建立揭制策略,需要考虑以下几个因素,除了:()
A、实施策略需要的时间和资源
B、攻击者的动机
C、服务可用性
D、证据保留的时间
答案:D
下面安全套接字层协议(SSL)的说法错误的是?()
A、它是一种基于Web应用的安全协议
B、由于SSL是内嵌的浏览器中的,无需安全客户端软件,所以相对于IPSEC 更简
C、SSL与IPSec一样都工作在网络层
D、SSL可以提供身份认证、加密和完整性校验的功能
答案:C
用来为网络中的主机自动分配IP地址、子网掩码、默认网关、wins服务器地址的网?()
A、ARP
B、IGMP
C、ICMP
D、DHCP
答案:D
下面哪一项不是VPN协议标准:()
A、L2TP
B、ipsec
C、TACACS+
D、PPTP
答案:C
IPSEC的两种使用模式分别是_______和_____()
A.传输模式、安全壳模式
B.传输模式、隧道模式
C.隧道模式 、ESP模式
D.安全壳模式、AH模式
答案:B
组成IPSEC的主要安全协议不包括以下哪一项:()
A、 ESP
B、 DSS
C、 IKE
D、 AH
答案:B
在UNIX系统中输入命令“LS-al test”显示如下;-rwxr-xr-x 3 root root 1024 Sep 13 11:58 test”对他的含义解释错误的是:()
A、这是一个文件,而不是目录
B、文件的拥有者可以对这个文件读、写和执行的操作
C、文件所属组的成员有可以读它,也可以执行它
D、其他所有用户只可以执行它
答案:D
计算机具有的IP地址是有限的,但通常计算机会开启多项服务或运行多个应用程序,那么如何在网络通信中对这些程序或服务进行单独标识?()
A.分配网络端口号
B.利用MAC地址
C.使用子网掩码
D.利用PKI/CA
答案:A
Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache 目录的配置文件是:()
A.httpd.conf
B.srm.conf
C.inetd.conf
D.access.conf
答案:A
下面哪一项是操作系统中可信通路(trust path)机制的实例?()
A.Window系统中ALT+CTRL+DEL
B.root在Linux系统上具有绝对的权限
C.以root身份作任何事情都要谨慎
D.控制root用户的登录可以在/etc/security目录下的access.conf文件中进行设置
答案:A
以下对Windows服务的说法错误的是( )
A.为了提升系统的安全性管理员应尽量关闭不需要的服务
B.Windows服务只有在用户成功登录系统后才能运行
C.可以作为独立的进程运行或以DLL的形式依附在Svchost.exe
D.windows服务通常是以管理员的身份运行的
答案:B
以下哪一项不是IIS服务器支持的访问控制过滤类型?()
A.网络地址访问控制
B.web服务器许可
C.NTFS许可
D.异常行为过滤
答案:D
下列哪一项与数据库的安全有直接关系?()
A.访问控制的粒度
B.数据库的大小
C.关系表中属性的数量
D.关系表中元组的数量
答案:A
下列哪一组Oracle数据库的默认用户名和默认口令?()
A.用户名: “Scott”;口令:“tiger”
B.用户名: “Sa”;口令:“nullr”
C.用户名: “root”;口令:“null”
D.用户名: “admin”;口令:“null”
答案:A
下列哪个标准本身由两个部分组成,一部分是一组信息技术产品的安全功能需要定义,另一部分是对安全保证需求的定义?()
A、可信任计算机系统评估标准( TCSEC)
B、信息技术安全评价准则( ITSEC)
C、信息技术安全评价联邦准则( FC)
D、 CC标准
答案:D
以下哪些不是操作系统安全的主要目标?()
A、标志用户身份及身份鉴别
B、按访问控制策略对系统用户的操作进行控制
C、防止用户和外来入侵者非法存取计算机资源
D、检测攻击者通过网络进行的入侵行为
答案:D
一个数据包过滤系统被设计成允许你要求服务的数据包进入,而过滤掉不必要的服务。这属于什么基本原则。( )
A、访问控制机制
B、最小特权管理机制
C、身份鉴别机制
D、安全审计机制
答案:B
在信息安全的服务中,访问控制的作用是什么?()
A、如何确定自己的身份,如利用一个带有密码的用户帐号登录
B、赋予用户对文件和目录的权限
C、保护系统或主机上的数据不被非认证的用户访问
D、提供类似网络中“劫持”这种手段的攻击的保护措施
答案:B
Windows NT/XP的安全性达到了橘皮书的第几级?()
A、C1级
B、C2级
C、B1级
D、B2级
答案:B
Windows日志有三种类型:系统日志、应用程序日志、安全日志。这些日志文件通常存放在操作系统的安装区域的哪个目录下?()
A、 system32\config
B、 system32\Data
C、 system32\drivers
D、 system32\Setup
答案:A
下列哪个版本的 Windows自带了防火墙,该防火墙能够监控和限制用户计算机的网络通信。( )
A、 Windows 98
B、 Windows ME
C、 Windows 2000
D、 Windows XP
答案:D
关于 Windows 2000 中的身份验证过程,下面哪种说法是错误的?()
A、如果用户登录一个域,则 Windows 2000将把这些登录信息转交给域控制器处理。
B、如果用户登录本机,则 Windows 2000将把这些登录信息转交给域控制器处理。
C、如果用户登录一个域,则 Windows 2000利用域控制器含有的目录副本,验证用户的登录信息。
D、如果用户登录本机,则 Windows 2000利用本机的安全子系统含有的本机安全数据库,验证用户的登录信息。
答案:B
什么是标识用户、组和计算机帐户的唯一数字?()
A、 SID
B、 LSA
C、 SAM
D、 SRM
答案:A
Windows 2000 中的 SAM文件默认保存在什么目录下?()
A、 WINNT
B、 WINNT/SYSTEM
C、 WINNT/SYSTEM32
D、WINNT/SYSTEM32/config
答案:D
在访问控制中,文件系统权限被默认地赋予了什么组?()
A、 Users
B、 Guests
C、 Administrators
D、 Replicator
答案:A
在访问控制中,对网络资源的访问是基于什么的?()
A、用户
B、权限
C、访问对象
D、工作组
答案:B
在本地安全策略控制台,可以看到本地策略设置包括哪些策略?()
A、帐户策略
B、系统服务
C、文件系统
D、注册表
答案:A
对于帐户策略的描述,以下哪句话是错误的?()
A、可以设定最短密码长度和密码最长期限。
B、可以强制锁定指定次数登录不成功的用户
C、帐户策略一律应用于域内的所有用户帐户
D、可以为同一域内的不同部门定义不同帐户策略
答案:D
以下哪个策略不属于本地计算机策略?()
A、审核策略
B、 Kerberos 身份验证策略
C、用户权利指派
D、安全选项
答案:B
关于组策略的描述哪些是错误的?()
A、首先应用的是本地组策略
B、除非冲突,组策略的应用应该是累积的
C、如果存在冲突,最先应用的组策略将获胜
D、策略在策略容器上的顺序决定应用的顺序
答案:C
安装 Windows 2000时,推荐使用哪种文件格式?()
A、 NTFS
B、FAT
C、FAT32
D、Linux
答案:A
如果有大量计算机需要频繁的分析,则可利用哪个命令工具进行批处理分析?()
A、 dumpel
B、 showpriv
C、 Secedit.exe
D、 gpolmig.exe
答案:C
除了哪种特性之外,其他安全特性在 Windows 2000种都可以通过系统本身的工具来进行设置和控制?()
A、物理安全性
B、用户安全性
C、文件安全性
D、入侵安全性
答案:A
以下关于注册表子树用途描述错误的是哪个?()
A、 KEY_LOCAL_MACHINE 包含了所有与本机有关的操作系统配置数据。
B、 HKEY_ CURRENT_ USER 包含当前用户的交互式的数据。
C、 HKEY_ CLASSES_ ROOT 包含软件的配置信息。
D、 HKEY_USERS包含了活动的硬件
答案:D
在 HKLM包含的子树中,哪个不能直接访问?配置的数据。( )
A、 Security
B、 Hardware
C、 Software
D、 System
答案:A
默认情况下,所有用户对新创建的文件共享有什么权限?()
A、读取
B、完全控制
C、写入
D、修改
答案:B
通过注册表或者安全策略,限制匿名连接的目的是什么?()
A、匿名连接会造成系统额外负担,影响性能
B、匿名连接影响网络效率
C、匿名连接能够探测 SAM的帐号和组
D、匿名连接直接导致系统被他人远程控制
答案:C
不属于常见的危险密码的是哪个? ()
A、跟用户名相同的密码
B、 10位的综合型密码
C、只有 4位数的密码
D、使用生日作为密码
答案:B
哪个版本的 Windows允许对隐藏文件加密?()
A、Windows 98
B、Windows ME
C、Windows 2000
D、 Windows Server 2003
答案:D
“在遇到应急事件后所采取的措施和行动”被称为()。
A、灾难恢复
B、数据恢复
C、应急响应
D、计算机取证
答案:C
灾难恢复与数据恢复的关系是()。
A、两者意义相同
B、前者包含后者
C、后者包含前者
D、两者没有关系
答案:B
“为减少灾难事件发生的可能性及限制灾难对关键业务流程所造成影响所采取的一整套行为”被称为()。
A、灾难恢复规划
B、应急处理
C、应急响应
D、数据恢复
答案:A
硬恢复与软恢复的区别主要在于()。
A、是否使用硬盘
B、是否需要工具软件的帮助
C、是否需要涉及硬件设备的维修
D、是否需要专业人员参与
答案:C
在本机的特定存储介质上进行的备份称为()。
A、异地备份
B、本地备份
C、可更新备份
D、动态备份
答案:B
通过网络将文件备份到与本地计算机物理上相分离的存储介质上的备份称为()。
A、异地备份
B、本地备份
C、可更新备份
D、动态备份
答案:A
备份到可读写的存储介质上的备份称为()。
A、异地备份
B、本地备份
C、可更新备份
D、动态备份
答案:C
下列存储介质中,容量最小的是()。
A、软盘
B、CD-RW
C、闪盘
D、移动硬盘
答案:A
Window 95/98/Me采用的文件系统格式是()。
A、OS2
B、FAT
C、NTFS
D、WinFS
答案:B
硬盘主引导记录的英文简称是()。
A、MBR
B、DBR
C、FAT
D、FDT
答案:A
Fdisk软件运行后,在磁盘中创建的记录是()。
A、MBR
B、DBR
C、FAT
D、FDT
答案:A
FAT区的主要作用是()。
A、以簇为单位标识磁盘数据空间
B、记录文件信息
C、记录文件数据
D、记录目录数据
答案:A
FDT区的主要作用是()。
A、以簇为单位标识磁盘数据空间
B、记录文件信息
C、记录文件数据
D、记录系统引导信息
答案:B
NTFS文件系统中,使用的冗余技术称为()。
A、MBR
B、RAID
C、FDT
D、FAT
答案:B
对于现存的安全策略有两个方面, 它们都是建立在()这一概念之上。
A、策略制定
B、授权行为
C、安全要素
D、安全标记
答案:B
在基于规则的安全策略中的授权通常依赖于()。
A、安全性
B、敏感性
C、目地
D、角色
答案:B
安全策略管理:指管理、保护及自动分发()的安全策略。
A、设备
B、全局性
C、用户
D、组织
答案:B
安全审计:对网络中的安全设备、操作系统及应用系统的()收集汇总,实现对这些信息的查询和统计。
A、日志信息
B、安全信息
C、运行信息
D、操作信息
答案:A
以下哪一项不属于安全管理的基本内容?()
A、安全设备管理
B、安全策略管理
C、安全分析控制
D、操作管理
答案:D
以下哪一项不属于安全管理的原则?()
A、多人负责
B、相互监督
C、任期有限
D、职责分离
答案:B
传统的安全方案要取得成功依赖于系统正确的设置和完善的()。
A、防御手段
B、安全体系
C、安全标准
D、信息保护
答案:A
PDR模型中 Dt是从入侵者开始发动入侵开始,系统能够检测到()所花费的时间。
A、系统异常
B、系统保护建立
C、入侵行为
D、灾难恢复启动
答案:C
在网络安全循环过程中,检测是非常重要的一个环节,检测是()的依据。
A、系统保护
B、安全策略制订
C、灾难恢复启动
D、动态响应
答案:D
动态自适应安全模型的设计思想是将安全管理看作一个动态的过程,()应适应网络的动态性。
A、安全管理
B、安全策略
C、安全防护
D、安全检测
答案:B
以下哪种安全模型由下列过程的不断循环构成:安全分析与配置、实施检测、报警响应和审计评估。()
A、P2DR
B、PDR
C、动态自适应
D、APPDRR
答案:C
美国国防部对信息保障 IA的定义是:“通过确保信息 /信息系统的可用性、完整性、可验证性、机密性和()来保障信息/信息系统的安全。”
A、隐私性
B、不可抵赖性
C、可管理性
D、可恢复性
答案:B
进行风险评估和提出安全需求是制定()的依据。
A、网络安全策略
B、网络安全规划
C、安全设备选型规则
D、安全管理标准
答案:A
对大部分组织而言,通常将信息分成二或三级就足够了,第二级别的信息是()的,这些信息称为“私有”、“公司敏感”或“公司秘密”。
A、公开发表
B、存档处理的
C、不公开发表
D、禁止发表
答案:C
()定义一个组织内的敏感信息以及如何保护敏感信息。
A、安全管理标准
B、防泄密管理标准
C、保密策略
D、信息策略
答案:D
一个组织内的安全策略一般不包括以下哪个方面?()
A、目的
B、范围
C、角色
D、责任
答案:暂时没有答案
安全策略应确定搜索恶意代码(如病毒、特洛伊木马等)的安全程序的存放位置。合适的位置包括文件服务器、桌面系统以及()等。
A、Web服务器
B、FTP服务器
C、电子邮件服务器
D、备份服务器
答案:C
以下哪一项属于计算机用户策略?()
A、计算机所有权
B、信息所有权
C、计算机的使用许可
D、以上都是
答案:D
