2023年安防生產(chǎn)行業(yè)技能考試-注冊(cè)信息安全專業(yè)人員考試題庫（含答案）（圖片大小可任意調(diào)節(jié)）卷I一.綜合密押題庫(共30題)1.我國目前最主要的關(guān)于計(jì)算機(jī)信息系統(tǒng)安全的法規(guī)是（）

A、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

B、《刑法》

C、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》

正確答案:A2.以下哪些是可能存在的威脅因素？（）

A、設(shè)備老化故障

B、病毒和蠕蟲

C、系統(tǒng)設(shè)計(jì)缺陷

D、保安工作不得力

正確答案:B3.IS審計(jì)師需要獲得充分和適當(dāng)?shù)膶徲?jì)證據(jù)的最重要原因是（）。

A、遵從需求的調(diào)整

B、是提供合理結(jié)論的基礎(chǔ)

C、確保完整的審計(jì)覆蓋

D、依據(jù)已定義的范圍完成審計(jì)

正確答案:B4.以下對(duì)于蠕蟲病毒的描述錯(cuò)誤的是（）。

A、蠕蟲的傳播無需用戶操作

B、蠕蟲會(huì)消耗內(nèi)存或網(wǎng)絡(luò)帶寬，導(dǎo)致DOS

C、蠕蟲的傳播需要通過“宿主”程序或文件

D、蠕蟲程序一般由“傳播模塊”、“隱藏模塊”、“目的功能模塊”構(gòu)成

正確答案:C5.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分析電子商務(wù)網(wǎng)站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅？（）

A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDos攻擊，降低網(wǎng)站訪問速度

B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄漏，例如購買的商品金額等

C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改

D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息

正確答案:D6.IS審計(jì)師準(zhǔn)備審計(jì)報(bào)告時(shí)需要確認(rèn)對(duì)審計(jì)結(jié)果的支持來源于？（）

A、IS管理層的聲明

B、其它審計(jì)員的工作報(bào)告

C、組織的控制自我評(píng)估

D、充分、合適的審計(jì)證據(jù)

正確答案:D7.下面選項(xiàng)中不屬于數(shù)據(jù)庫安全模型的是（）。

A、自主型安全模型

B、強(qiáng)制型安全模型

C、基于角色的模型

D、訪問控制矩陣

正確答案:C8.IS審計(jì)師在審查應(yīng)用軟件獲取申請(qǐng)，應(yīng)該確保（）。

A、正在使用的操作系統(tǒng)符合現(xiàn)有的硬件平臺(tái)

B、計(jì)劃的操作系統(tǒng)更新已經(jīng)排定，并盡可能減少對(duì)公司需求的負(fù)面影響。

C、操作系統(tǒng)是最新的版本并經(jīng)過升級(jí)

D、產(chǎn)品與當(dāng)前或計(jì)劃中的操作系統(tǒng)是符合的

正確答案:D9.通過向被攻擊者發(fā)送大量的ICMP回應(yīng)請(qǐng)求，消耗被攻擊者的資源來進(jìn)行響應(yīng)，直至被攻擊者再也無法處理有效地網(wǎng)絡(luò)信息流時(shí)，這種攻擊稱之為（）

A、Land攻擊

B、Smurf攻擊

C、PingofDeath攻擊

D、ICMPFlood

正確答案:D10.起草業(yè)務(wù)持續(xù)計(jì)劃（BCP）時(shí)，以下哪項(xiàng)陳述是正確的（）

A、停機(jī)時(shí)間成本隨恢復(fù)點(diǎn)目標(biāo)（RPO）的提高而降低

B、停機(jī)時(shí)間成本隨時(shí)間的推移而增加

C、恢復(fù)成本與時(shí)間無關(guān)

D、恢復(fù)成本僅可得到短期控制

正確答案:B11.一旦組織已經(jīng)完成其所有關(guān)鍵業(yè)務(wù)的業(yè)務(wù)流程再造（BPR），IS審計(jì)人員最有可能集中檢查（）

A、BPR實(shí)施前的處理流程圖

B、BPR實(shí)施后的處理流程圖

C、BPR項(xiàng)目計(jì)劃

D、持續(xù)改進(jìn)和監(jiān)控計(jì)劃

正確答案:B12.接受EDI交易并通訊接口，通常需要階段（）。

A、轉(zhuǎn)化和分拆交易

B、路由確認(rèn)過程

C、傳遞數(shù)據(jù)到應(yīng)用系統(tǒng)

D、創(chuàng)建接收審計(jì)日志點(diǎn)

正確答案:B13.下面把一項(xiàng)最準(zhǔn)確的闡述了安全監(jiān)測(cè)措施和安全審計(jì)措施之間的區(qū)別？（）

A、審計(jì)措施不能自動(dòng)執(zhí)行，而監(jiān)測(cè)措施可以自動(dòng)執(zhí)行

B、監(jiān)測(cè)措施不能自動(dòng)執(zhí)行，而審計(jì)措施可以自動(dòng)執(zhí)行

C、審計(jì)措施使一次性地或周期性進(jìn)行，而審計(jì)措施是實(shí)時(shí)地進(jìn)行

D、監(jiān)測(cè)措施是指一次性地或周期性地進(jìn)行，而審計(jì)措施是實(shí)時(shí)地進(jìn)行

正確答案:A14.下列軟件開發(fā)模型中，支持需求不明確，特別是大型軟件系統(tǒng)的開發(fā),并支持多種軟件開發(fā)方法的橫型是（）。

A、原型模型

B、瀑布模型

C、噴泉模型

D、螺旋模型

正確答案:D15.王工是某單位的系統(tǒng)管理員，他自某次參加了單位組織的風(fēng)險(xiǎn)管理工作時(shí)，根據(jù)任務(wù)安排，他使用了Nessus工具來掃描和發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器的漏洞，根據(jù)風(fēng)險(xiǎn)管理的相關(guān)理論，他這個(gè)掃描活動(dòng)屬于下面哪一個(gè)階段的工作：（）

A、風(fēng)險(xiǎn)分析

B、風(fēng)險(xiǎn)要素識(shí)別

C、風(fēng)險(xiǎn)結(jié)果判定

D、風(fēng)險(xiǎn)處理

正確答案:B16.檢查終端的非授權(quán)輸入信息最好是通過（）。

A、控制臺(tái)日志打印輸出

B、交易記錄

C、自動(dòng)暫停的文件列表

D、用戶錯(cuò)誤報(bào)告

正確答案:B17.下面哪一項(xiàng)整體測(cè)試檢查數(shù)據(jù)的準(zhǔn)確性、完整性、一致性和授權(quán)（）。

A、數(shù)據(jù)

B、關(guān)系

C、領(lǐng)域

D、參考

正確答案:A18.組織有完整的開發(fā)環(huán)境（IDE），所有程序庫都存放在服務(wù)器上，但是更新/開發(fā)和測(cè)試都是在PC工作站中完成。以下哪項(xiàng)將在IDE中得到加強(qiáng)（）。

A、對(duì)程序版本進(jìn)行控制。

B、提高程序資源和工具的可用性。

C、提高程序和處理的完整性。

D、防止有效的變更被其它的變更所覆蓋。

正確答案:B19.信息系統(tǒng)審計(jì)師在什么情況下應(yīng)該使用統(tǒng)計(jì)抽樣，而不是判斷抽樣（非統(tǒng)計(jì)抽樣）（）。

A、錯(cuò)誤概率必須是客觀量化的

B、審計(jì)師希望避免抽樣風(fēng)險(xiǎn)

C、通用審計(jì)軟件不可用

D、可容忍誤差率不能確定

正確答案:A20.常見的訪問控制模型包括自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型等。下面描述中錯(cuò)誤的是（）。

A、從安全性等級(jí)來看，這三個(gè)模型安全性從低到高的排序是自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型

B、自主訪問控制是一種廣泛的應(yīng)用方法，資源的所有者（往往也是創(chuàng)造者）可以規(guī)定誰有權(quán)訪問它們的資源，具有較好的易用性和可擴(kuò)展性

C、強(qiáng)制訪問控制模型要求主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以訪問某個(gè)客體。該模型具有一定的抗惡意程序攻擊能力，適用于專用或安全性要求較高的系統(tǒng)

D、基于角色的訪問控制模型的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限，該模型便于實(shí)施授權(quán)管理和安全約束，容易實(shí)現(xiàn)最小特權(quán)、職責(zé)分離等各種安全策略

正確答案:A21.為防止偽裝IP攻擊，如果發(fā)生下列情況，防火墻應(yīng)被配置為丟棄信息包（）。

A、源路由域被激活

B、在目的域中有播放地址

C、重置標(biāo)記（RST）為TCP連接開啟

D、使用動(dòng)態(tài)路由替代靜態(tài)路由

正確答案:A22.通過反復(fù)嘗試向系統(tǒng)提交用戶名和密碼以發(fā)現(xiàn)正確的用戶密碼的攻擊方式稱為（）

A、賬戶信息收集

B、密碼分析

C、密碼嗅探

D、密碼暴力破解

正確答案:D23.傳統(tǒng)軟件開發(fā)方法無法有效解決軟件安全缺陷問題的原因是（）。

A、傳統(tǒng)軟件開發(fā)方法將軟件開發(fā)分為需求分析、架構(gòu)設(shè)計(jì)、代碼編寫、測(cè)試和運(yùn)行維護(hù)五個(gè)階段

B、傳統(tǒng)的軟件開發(fā)方法，注重軟件功能實(shí)現(xiàn)和保證，缺乏對(duì)安全問題進(jìn)行處理的任務(wù)、里程碑與方法論，也缺乏定義對(duì)安全問題的控制與檢查環(huán)節(jié)

C、傳統(tǒng)的軟件開發(fā)方法，將軟件安全定義為編碼安全，力圖通過規(guī)范編碼解決安全問題，缺乏全面性

D、傳統(tǒng)的軟件開發(fā)方法僅從流程上規(guī)范軟件開發(fā)過程，缺乏對(duì)人員的培訓(xùn)要求，開發(fā)人員是軟件安全缺陷產(chǎn)生的根源

正確答案:B24.企業(yè)將其技術(shù)支持職能（helpdesk）外包出去，下面的哪一項(xiàng)指標(biāo)納入外包服務(wù)等級(jí)協(xié)定（SLA）是最恰當(dāng)?shù)模ǎ?/p>

A、要支援用戶數(shù)

B、首次請(qǐng)求技術(shù)支持，即解決的（事件）百分比

C、請(qǐng)求技術(shù)支援的總?cè)舜?/p>

D、電話回應(yīng)的次數(shù)

正確答案:B25.在計(jì)劃軟件開發(fā)項(xiàng)目時(shí)，以下哪一項(xiàng)最難以確定（）。

A、項(xiàng)目延遲時(shí)間

B、項(xiàng)目的關(guān)鍵路線

C、個(gè)人任務(wù)需要的時(shí)間和資源

D、不包括動(dòng)態(tài)活動(dòng)的，在其他結(jié)束之前的關(guān)系

正確答案:C26.測(cè)試程序變更管理流程時(shí)，安全管理體系內(nèi)審員使用的最有效的方法是（）。

A、由系統(tǒng)生成的信息跟蹤到變更管理文檔

B、檢查變更管理文檔中涉及的證據(jù)的精確性和正確性

C、由變更管理文檔跟蹤到生成審計(jì)軌跡的系統(tǒng)

D、檢查變更管理文檔中涉及的證據(jù)的完整性

正確答案:A27.通過哪一項(xiàng)可以控制無效率地使用大量的計(jì)算機(jī)設(shè)備（）。

A、應(yīng)急計(jì)劃

B、系統(tǒng)可行性研究

C、容量規(guī)劃

D、例外報(bào)告

正確答案:C28.當(dāng)信息系統(tǒng)審計(jì)師評(píng)估一個(gè)高可用性網(wǎng)絡(luò)的恢復(fù)能力時(shí)，如發(fā)生下列情況應(yīng)最為關(guān)注（）。

A、設(shè)備在地理位置上分散

B、網(wǎng)絡(luò)服務(wù)器位于同一地點(diǎn)

C、熱站就緒可以被激活

D、網(wǎng)絡(luò)執(zhí)行了不同行程

正確答案:B29.訪問控制方法可分為自主訪問控制，強(qiáng)制訪問控制和基于角色的訪問控制，它們具有不同的特點(diǎn)和應(yīng)用場(chǎng)景。如果需要選擇一個(gè)訪問控制方法，要求能夠支持最小特權(quán)和職責(zé)分離原則，而且在不同的系統(tǒng)配置下可以具有不同的安全控制，那么在下列選項(xiàng)中，能