2023年安防生產(chǎn)行業(yè)技能考試-注冊信息安全專業(yè)人員考試歷年高頻考點(diǎn)試題含答案（圖片大小可自由調(diào)整）第1卷一.參考題庫(共100題)1.下面對ISO27001的說法最準(zhǔn)確的是（）。A、該標(biāo)準(zhǔn)的題目是信息安全管理體系實(shí)施指南B、該標(biāo)準(zhǔn)為度量信息安全管理體系的開發(fā)和實(shí)施提供的一套標(biāo)準(zhǔn)C、該標(biāo)準(zhǔn)提供了一組信息安全管理相關(guān)的控制和最佳實(shí)踐D、該標(biāo)準(zhǔn)為建立、實(shí)施、運(yùn)行、監(jiān)控、審核、維護(hù)和改進(jìn)信息安全體系提供了一個模型2.在window系統(tǒng)中用于顯示本機(jī)各網(wǎng)絡(luò)端口詳細(xì)情況的命令是（）A、netshowB、netstatC、ipconfigD、netview3.下面對于CC的“評估保證級”（EAL）的說法最準(zhǔn)確的是（）。A、代表著不同的訪問控制強(qiáng)度B、描述了對抗安全威脅的能力級別C、是信息技術(shù)產(chǎn)品或信息技術(shù)系統(tǒng)對安全行為和安全功能的不同要求D、由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度4.下列哪項(xiàng)不是信息系統(tǒng)的安全工程的能力成熟度模型（SSE-CMM）的主要過程？（）A、風(fēng)險評估B、保證過程C、工程過程D、評估過程5.以下哪一個密碼學(xué)手段不需要共享密鑰？（）A、消息認(rèn)證B、消息摘要C、加密解密D、數(shù)字簽名6.以下哪種關(guān)于電子郵件安全性的說法是正確的（）。I.電子郵件不可能比它依賴的計(jì)算機(jī)系統(tǒng)更安全I(xiàn)I.機(jī)密的電子郵件信息應(yīng)該儲存于郵件服務(wù)器中，儲存時間和紙質(zhì)文件相同III.在大型組織中，可能有若干個不同安全級別的郵件管理員和地點(diǎn)A、只有I對的B、只有I和II是對的C、只有I和III是對的D、只有II和III是對的7.在一個組織內(nèi)部，IT安全的職責(zé)被清晰分配并強(qiáng)制執(zhí)行，且IT安全風(fēng)險和影響分析被一貫執(zhí)行。這代表了以下安全治理的哪種成熟度模型（）。A、最優(yōu)的B、可管理的C、定義級D、重復(fù)級8.程序員在工資發(fā)放應(yīng)用程序中包括了查找自己工資號碼的例行程序，作為結(jié)果，如果自己的工作號碼沒有找到，這個例行程序?qū)a(chǎn)生隨機(jī)數(shù)并替換掉所有的薪水金額。這種程序被稱作（）。A、清理scavengingB、數(shù)據(jù)泄露C、尾隨D、特洛伊木馬9.業(yè)務(wù)流程再造（BPR）項(xiàng)目最有可能導(dǎo)致以下哪一項(xiàng)的發(fā)生？（）A、更多的人使用技術(shù)B、通過降低信息技術(shù)的復(fù)雜性而大量節(jié)省開支C、較弱的組織結(jié)構(gòu)和較少的責(zé)任D、增加的信息保護(hù)（IP）風(fēng)險10.不受限制的訪問生產(chǎn)系統(tǒng)程序的權(quán)限將授予以下哪些人？（）A、審計(jì)師B、不可授予任何人C、系統(tǒng)的屬主D、只有維護(hù)程序員11.一個投資顧問定期向客戶發(fā)送業(yè)務(wù)通訊（newsletter）e-mail，他想要確保沒有人修改他的newsletter。這個目標(biāo)可以用下列的方法達(dá)到（）。A、用顧問的私鑰加密newsletter的散列（hash）B、用顧問的公鑰加密newsletter的散列（hash）C、用顧問的私鑰對文件數(shù)據(jù)簽名D、用顧問的私鑰加密newsletter12.有關(guān)能力成熟度模型（CMM）錯誤的理解是（）A、CMM的基本思想是，因?yàn)閱栴}是由技術(shù)落后引起的，所以新技術(shù)的運(yùn)用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率B、CMM的思想來源于項(xiàng)目管理和質(zhì)量管理C、CMM是一種衡量工程實(shí)施能力的方法，是一種面向工程過程的方法D、CMM是建立在統(tǒng)計(jì)過程控制理論基礎(chǔ)上的，它基于這樣一個假設(shè)，即“生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”13.PKI（公鑰體系），以下哪種方法能提供一個明確的授權(quán)用戶的可信賴的證據(jù)？（）A、不可抵賴性B、加密C、識別D、完整性14.各國在信息安全保障組織架構(gòu)有兩種主要形式，一種是由一個部門集中管理國家信息安全相關(guān)工作，另一種是多個部門分別管理，同時加強(qiáng)協(xié)調(diào)工作。下列各國中，哪一個國家是采取多部門協(xié)調(diào)的做法（）A、德國B、法國C、美國D、以上國家都不是15.在應(yīng)用開發(fā)過程中，結(jié)合了質(zhì)量保證測試和用戶接受測試。IS審計(jì)師在檢測開發(fā)項(xiàng)目時最主要關(guān)注：（）A、增加維護(hù)B、測試沒有適當(dāng)?shù)奈臋n記錄C、不適當(dāng)?shù)墓δ苄詼y試D、延遲問題解決16.E-MAIL軟件應(yīng)用中驗(yàn)證數(shù)位簽名可以（）。A、幫助檢查垃圾郵件（spam）B、實(shí)現(xiàn)保密性C、加重閘道服務(wù)器的負(fù)載D、嚴(yán)重降低可用的網(wǎng)絡(luò)帶寬17.一家金融服務(wù)公司擁有一個獨(dú)立代理用來管理客戶賬戶的網(wǎng)站。在檢查系統(tǒng)的邏輯訪問時，IS審計(jì)師注意到，一些用戶ID似乎被多個代理用戶共享。此時，IS審計(jì)師最適合采取以下哪項(xiàng)行動：（）A、通知審計(jì)委員會存在潛在問題B、要求詳細(xì)審查相關(guān)ID的審計(jì)日志C、記錄結(jié)果并對使用共享ID的風(fēng)險作出解釋D、聯(lián)系安全經(jīng)理，要求從系統(tǒng)中刪除這些ID18.在Web服務(wù)器上使用通用網(wǎng)關(guān)接口（CGI)的最常見方法是什么？（）A、把數(shù)據(jù)傳送到應(yīng)用程序并返回到用戶的一致方法B、用于電影和TV的計(jì)算機(jī)圖形圖像法C、用于Web設(shè)計(jì)的圖形用戶界面D、訪問專用網(wǎng)關(guān)域的接口19.以下哪個選項(xiàng)最能限制用戶僅使用履行其職責(zé)所需的功能？（）A、應(yīng)用程序級訪問控制B、數(shù)據(jù)加密C、禁用軟盤驅(qū)動器D、網(wǎng)絡(luò)監(jiān)控設(shè)備20.軟件發(fā)展的瀑布模型，用于下面的哪一種情況時最為適當(dāng)?shù)模ǎ?。A、理解了需求，并且要求需求保持穩(wěn)定，尤其是開發(fā)的系統(tǒng)所運(yùn)行的業(yè)務(wù)環(huán)境沒有變化或變化很小B、需求被充分地理解，項(xiàng)目又面臨工期壓力C、項(xiàng)目要采用面向物件的設(shè)計(jì)和編程方法D、項(xiàng)目要引用新技術(shù)21.以下哪項(xiàng)不是信息安全的主要目標(biāo)？（）A、確保業(yè)務(wù)連續(xù)性B、保護(hù)信息免受各種威脅的損害C、防止黑客竊取員工個人信息D、投資回報(bào)和商業(yè)機(jī)遇最大化22.分析以下哪一項(xiàng)最有可能使IS審計(jì)人員確定是否有非法企圖獲取敏感數(shù)據(jù)（）。A、異常工作終止報(bào)告B、操作問題報(bào)告C、系統(tǒng)日志D、操作工作日程安排23.域名注冊信息可在哪里找到？（）A、路由表B、DNS記錄C、whois數(shù)據(jù)庫D、MIBs庫24.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決（）A、信息系統(tǒng)的技術(shù)架構(gòu)安全問題B、信息系統(tǒng)組成部門的組件安全問題C、信息系統(tǒng)生命周期的過程安全問題D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題25.下面對信息安全特征和范疇的說法錯誤的是（）。A、信息安全是一個系統(tǒng)性的問題，不僅要考慮信息系統(tǒng)本身的技術(shù)文件，還有考慮人員、管理、政策等眾多因素B、信息安全是一個動態(tài)的問題，他隨著信息技術(shù)的發(fā)展普及，以及產(chǎn)業(yè)基礎(chǔ)，用戶認(rèn)識、投入產(chǎn)出而發(fā)展C、信息安全是無邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來越模糊，因此確定一個組織的信息安全責(zé)任是沒有意義的D、信息安全是非傳統(tǒng)的安全，各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享，決定了信息安全具有不同于傳統(tǒng)安全的特點(diǎn)26.數(shù)據(jù)庫管理員建議要提高關(guān)系數(shù)據(jù)庫的性能可以denormalizing一些表，這可能導(dǎo)致（）。A、保密性損失B、增加冗余C、非授權(quán)訪問D、應(yīng)用故障27.隨著公司遺產(chǎn)系統(tǒng)的重組，發(fā)現(xiàn)記錄被意外刪除，下面哪一項(xiàng)可以最有效的診斷這種情況的發(fā)生（）。A、范圍檢查B、表查詢C、運(yùn)行匯總Run-to-runtotalsD、一對一地檢測28.以下哪一項(xiàng)不是BLP模型的主要任務(wù)（）A、定義使系統(tǒng)獲得“安全”的狀態(tài)集合B、檢查所有狀態(tài)的變化均始于一個“安全狀態(tài)”并終止于另一個“安全狀態(tài)”C、檢查系統(tǒng)的初始狀態(tài)是否為“安全狀態(tài)”D、選擇系統(tǒng)的終止?fàn)顟B(tài)29.覆蓋和消磁不用在對以下哪一種計(jì)算機(jī)存儲器或存儲媒介進(jìn)行清空的過程？（）A、隨機(jī)訪問存儲器（RAM）B、只讀存儲器（ROM）C、磁性核心存儲器D、磁性硬盤30.Java安全模型（JSM）是在設(shè)計(jì)虛擬機(jī)（JVN）時，引入沙箱（sandbox）機(jī)制，其主要目的是：（）。A、為服務(wù)器提供針對惡意客戶端代碼的保護(hù)B、為客戶端程序提供針對用戶輸入惡意代碼的保護(hù)C、為用戶提供針對惡意網(wǎng)絡(luò)移動代碼的保護(hù)D、提供事件的可追查性31.測試連接兩個或兩個以上的系統(tǒng)的組件，信息從一個區(qū)域到另一個區(qū)域被稱為（）。A、Pilot測試B、平行測試C、接口測試D、回歸測試32.根據(jù)《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險評估工作的通知》的規(guī)定，以下正確的是（）A、涉密信息系統(tǒng)的風(fēng)險評估應(yīng)按照《信息安全等級保護(hù)管理辦法》等國家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)進(jìn)行B、非涉密信息系統(tǒng)的風(fēng)險評估應(yīng)按照《非涉及國家秘密的信息系統(tǒng)分級保護(hù)管理辦法》等有關(guān)要求進(jìn)行C、可委托同一專業(yè)測評機(jī)構(gòu)完成等級測評和風(fēng)險評估工作，并形成等級測評報(bào)告和風(fēng)險評估報(bào)告D、此通知不要求將“信息安全風(fēng)險評估”作為電子政務(wù)項(xiàng)目驗(yàn)收的重要內(nèi)容33.總線34.可信計(jì)算技術(shù)不能（）。A、確保系統(tǒng)具有免疫能力，從根本上阻止病毒和黑客等軟件的攻擊B、確保密鑰操作和存儲的安全C、確保硬件環(huán)境配置、操作系統(tǒng)內(nèi)核、服務(wù)及應(yīng)用程序的完整性D、使計(jì)算機(jī)具有更高的穩(wěn)定性35.以下是哪一個是其中最好的預(yù)防系統(tǒng)弱點(diǎn)暴露的方法（）。A、日志監(jiān)測B、病毒保護(hù)C、入侵偵測D、補(bǔ)丁管理36.以下哪種情形下最適合使用數(shù)據(jù)鏡像來作為恢復(fù)策略？（）A、高的災(zāi)難容忍度B、高的恢復(fù)時間目標(biāo)（RTO）C、低的恢復(fù)點(diǎn)目標(biāo)（RPO）D、高的恢復(fù)點(diǎn)目標(biāo)（RPO）37.在實(shí)施對于多用戶分布式應(yīng)用程序的審核時，IS審計(jì)師發(fā)現(xiàn)在三個方面存在小的弱點(diǎn)（）。初始參數(shù)設(shè)置不當(dāng)，正在適用的弱密碼，一些關(guān)鍵報(bào)告沒有被很好的檢查。當(dāng)準(zhǔn)備審計(jì)報(bào)告時，IS審計(jì)師應(yīng)該（）。A、分別記錄對于每個發(fā)現(xiàn)產(chǎn)生的相關(guān)影響。B、建議經(jīng)理關(guān)于可能的風(fēng)險不記錄這些發(fā)現(xiàn)，因?yàn)榭刂迫觞c(diǎn)很小C、記錄發(fā)現(xiàn)的結(jié)果和由于綜合缺陷引發(fā)的風(fēng)險D、報(bào)告部門領(lǐng)導(dǎo)重視每一個發(fā)現(xiàn)并在報(bào)告中適當(dāng)?shù)挠涗?8.端口39.企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當(dāng)?shù)难a(bǔ)償性控制是（）。A、限制物理訪問計(jì)算設(shè)備B、檢查事務(wù)和應(yīng)用日志C、雇用新IT員工之前進(jìn)行背景調(diào)查D、在雙休日鎖定用戶會話40.一個在多個地區(qū)擁有辦事處的組織已經(jīng)制定了一個災(zāi)難恢復(fù)計(jì)劃，實(shí)際動用資源進(jìn)行測試的話，下面哪個DRP是最有成本效率的？（）A、全盤測試B、預(yù)演測試C、紙面測試D、回歸測試41.KPI的主要目的是什么（）。A、讓管理層可以確認(rèn)員工正在工作B、監(jiān)控系統(tǒng)設(shè)備能力和過程績效測量C、提供給管理層一個工具來來考察流程是否健康并指出潛在的問題點(diǎn)D、讓操作員知道什么時候發(fā)生問題，SLA是否得到滿足42.一個信息系統(tǒng)審計(jì)師發(fā)現(xiàn)組織的首席官（CIO）正在使用一個基于全球移動通信（GSM）技術(shù)的無線寬帶調(diào)制解調(diào)器，該調(diào)試解調(diào)器在首席信息官旅行中不在辦公室時用來連接CIO的筆記本電腦到公司的虛擬專用網(wǎng)絡(luò)（VPN）。信息系統(tǒng)審計(jì)師應(yīng)：（）A、什么也不做因?yàn)镚SM技術(shù)的內(nèi)建安全特性是合適的B、建議CIO在啟動用加密前停止使用筆記本計(jì)算機(jī)C、確保網(wǎng)絡(luò)中啟用了介質(zhì)訪問控制（MAC）地址過濾，未經(jīng)授權(quán)的無線網(wǎng)絡(luò)用戶無法連接D、建議在無線連接中使用雙因素認(rèn)證，以防止未經(jīng)授權(quán)的通信43.下列哪一項(xiàng)能夠被用來檢測過去沒有被識別過的新型攻擊？（）A、基于特征的IDSB、基于知識的IDSC、基于行為的IDSD、專家系統(tǒng)44.在評價網(wǎng)絡(luò)監(jiān)控的設(shè)計(jì)時，信息系統(tǒng)審計(jì)師首先要檢查網(wǎng)絡(luò)的（）。A、拓?fù)鋱DB、帶寬的使用C、流量分析報(bào)告D、瓶頸位置45.IS審計(jì)師進(jìn)行應(yīng)用程序維護(hù)審計(jì)時，審查程序變更日志是為了（）。A、授權(quán)程序變動B、創(chuàng)建當(dāng)前對象模塊的日期C、程序變化實(shí)際產(chǎn)生發(fā)生的數(shù)量D、源程序創(chuàng)建日期46.軟件的盜版是一個嚴(yán)重的問題。在下面哪一種說法中反盜版的政策和實(shí)際行為是矛盾的？（）A、員工的教育和培訓(xùn)B、遠(yuǎn)距離工作（Telecommuting）與禁止員工攜帶工作軟件回家C、自動日志和審計(jì)軟件D、政策的發(fā)布與政策的強(qiáng)制執(zhí)行47.組織回顧信息系統(tǒng)災(zāi)難恢復(fù)計(jì)劃時應(yīng)（）。A、每半年演練一次B、周期性回顧并更新C、經(jīng)首席執(zhí)行官（CEO）認(rèn)可D、與組織的所有部門負(fù)責(zé)人溝通48.對惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識等措施，關(guān)于以下預(yù)防措施或意識，說法錯誤的是（）A、在使用來自外部的移動介質(zhì)前，需要進(jìn)行安全掃描B、限制用戶對管理員權(quán)限的使用C、開放所有端口和服務(wù)，充分使用系統(tǒng)資源D、不要從不可信來源下載或執(zhí)行應(yīng)用程序49.某網(wǎng)站在設(shè)計(jì)對經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼，但是在部署時由于管理員將備份存放在WED目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類擬問題，以下哪種測試方式是最佳的測試方法。（）A、模糊測試B、源代碼測試C、滲透測試D、軟件功能測試50.在下面哪一個管理風(fēng)險的方法中，分擔(dān)風(fēng)險是一個關(guān)鍵的因素？（）A、轉(zhuǎn)移風(fēng)險B、容忍風(fēng)險C、終止風(fēng)險D、降低風(fēng)險51.以下哪一個是檢查擅自改變了生產(chǎn)環(huán)境的控制（）。A、禁止程序員訪問產(chǎn)品數(shù)據(jù)B、要求變更管理的分析包括成本效益C、定期控制比較當(dāng)前目標(biāo)和源程序D、確立緊急變更的處理程序52.下列那一項(xiàng)能最大的保證服務(wù)器操作系統(tǒng)的完整性（）。A、用一個安全的地方來存放（保護(hù)）服務(wù)器B、設(shè)置啟動密碼C、加強(qiáng)服務(wù)器設(shè)置D、實(shí)施行為記錄53.以下哪一項(xiàng)屬于所有指令均能被執(zhí)行的操作系統(tǒng)模式？（）A、問題B、中斷C、監(jiān)控D、標(biāo)準(zhǔn)處理54.審查組織中局域網(wǎng)（LAN）性能的IS審計(jì)師應(yīng)該首先檢查：（）A、連接和無連接服務(wù)B、網(wǎng)絡(luò)拓?fù)鋱DC、數(shù)據(jù)、語音和視頻吞吐量要求D、廣域網(wǎng)（WAN）連接的數(shù)量55.應(yīng)當(dāng)如可理解信息安全管理體系中的“信息安全策略”？（）A、為了達(dá)到如何保護(hù)標(biāo)準(zhǔn)而提出的一系列建議B、為了定義訪問控制需求而產(chǎn)生出來的一些通用性指引C、組織高層對信息安全工作意圖的正式表達(dá)D、一種分階段的安全處理結(jié)果56.下列哪種風(fēng)險說明了與程序的陷門有關(guān)的風(fēng)險（）。A、固有風(fēng)險B、審計(jì)風(fēng)險C、檢查風(fēng)險D、業(yè)務(wù)（商業(yè)）風(fēng)險57.以下哪項(xiàng)不屬于造成信息安全問題的自然環(huán)境因素？（）A、縱火B(yǎng)、地震C、極端天氣D、洪水58.美國國防部提出的《信息保障技術(shù)框架》（IATF）在描述信息系統(tǒng)的安全需求時，將信息技術(shù)信息分為（）。A、內(nèi)網(wǎng)和外網(wǎng)兩個部分B、本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施四個部分C、用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件五個部分D、可信用戶終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件、安全防護(hù)措施六個部分59.下面哪一種關(guān)于安全的說法是不對的？（）A、加密技術(shù)的安全性不應(yīng)大于使用該技術(shù)的人的安全性B、任何電子郵件程序的安全性不應(yīng)大于實(shí)施加密的計(jì)算機(jī)的安全性C、加密算法的安全性與密鑰的安全性一致D、每個電子郵件消息的安全性是通過用標(biāo)準(zhǔn)的非隨機(jī)的密鑰加密來實(shí)現(xiàn)60.有效性檢查61.當(dāng)更新一個正在運(yùn)行的在線訂購系統(tǒng)時，更新都記錄在一個交易磁帶和交易日志副本。在一天業(yè)務(wù)結(jié)束后，訂單文件備份在磁帶上。在備份過程中，驅(qū)動器故障和訂單文件丟失。以下哪項(xiàng)對于恢復(fù)文件是必須的？（）A、前一天的備份文件和當(dāng)前的交易磁帶B、前一天的交易文件和當(dāng)前的交易磁帶C、當(dāng)前的交易磁帶和當(dāng)前的交易日志副本D、當(dāng)前的交易日志副本和前一天的交易交易文件62.原始文件（憑證）63.風(fēng)險分析的目標(biāo)是達(dá)到（）。A、風(fēng)險影響和保護(hù)性措施之間的價值平衡B、風(fēng)險影響和保護(hù)性措施之間的操作平衡C、風(fēng)險影響和保護(hù)性措施之間的技術(shù)平衡D、風(fēng)險影響和保護(hù)性措施之間的邏輯平衡64.反向工程65.審計(jì)中發(fā)現(xiàn)的證據(jù)表明，有一種欺詐舞弊行為與經(jīng)理的帳號有關(guān)。經(jīng)理把管理員分配給他的密碼寫在紙上后，存放在書桌抽屜里。IS審計(jì)師可以推測的結(jié)論是（）。A、經(jīng)理助理有舞弊行為B、不能肯定無疑是誰做的C、肯定是經(jīng)理進(jìn)行舞弊D、系統(tǒng)管理員進(jìn)行舞弊66.管理層要求IS審計(jì)師對可能存在的交易進(jìn)行審查。IS審計(jì)師在評估交易時的首要關(guān)注點(diǎn)應(yīng)為：（）A、評估交易時保持公正B、確保IS審計(jì)師始終保持獨(dú)立性C、確保始終保持證據(jù)的完整性D、收集所有相關(guān)的交易證據(jù)67.在進(jìn)行應(yīng)用系統(tǒng)的的測試時，應(yīng)盡可能避免使用包含個人隱私和其他敏感信息的實(shí)際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時，以下哪一項(xiàng)不是必須做的？（）A、測試系統(tǒng)應(yīng)使用不低于生產(chǎn)關(guān)系的訪問控制措施B、為測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施C、在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)D、部署審計(jì)措施，記錄生產(chǎn)數(shù)據(jù)的拷貝和使用68.一個數(shù)字簽字設(shè)備用于金融機(jī)構(gòu)貸款給客戶的帳戶。金融機(jī)構(gòu)接到3次指示，對賬戶支付三次。下面哪一種控制子最適合防止多次支付信用卡（）。A、對付款指令進(jìn)行HASH加密，用金融機(jī)構(gòu)的公鑰B、對指令增加時間戳，用于檢查重復(fù)支付C、對付款指令進(jìn)行HASH加密，用金融機(jī)構(gòu)的私鑰D、在金融機(jī)構(gòu)對摘要簽名前，對指令增加時間戳69.要優(yōu)化企業(yè)的業(yè)務(wù)連續(xù)計(jì)劃（BCP）。審計(jì)師應(yīng)建議業(yè)務(wù)影響分析（BIA），以確定：（）A、業(yè)務(wù)流程為組織創(chuàng)造最大的經(jīng)濟(jì)價值，因此，首先必須恢復(fù)B、優(yōu)先事項(xiàng)和恢復(fù)秩序以確保和本組織的業(yè)務(wù)戰(zhàn)略保持一致C、企業(yè)關(guān)鍵業(yè)務(wù)必須在災(zāi)難后恢復(fù)，以確保組織生存D、優(yōu)先事項(xiàng)和恢復(fù)秩序?qū)⒃诙唐趦?nèi)盡可能多的恢復(fù)70.以下哪一類設(shè)備可以延伸網(wǎng)絡(luò)，具有存儲數(shù)據(jù)幀的能力并作為存儲轉(zhuǎn)發(fā)設(shè)備工作？（）A、路由器B、網(wǎng)橋C、中繼器D、網(wǎng)關(guān)71.下述攻擊手段中不屬于DOS攻擊的是：（）。A、Smurf攻擊B、Land攻擊C、Teardrop攻擊D、CGI溢出攻擊72.在審計(jì)信用卡支付系統(tǒng)時，下列哪種方法提供最好的保證信息被正確地處理（）。A、審計(jì)痕跡。B、數(shù)據(jù)錄入和計(jì)算機(jī)操作員的職責(zé)分離。C、擊鍵驗(yàn)證。D、主管審查。73.對于網(wǎng)絡(luò)風(fēng)險控制模型中，描述正確的是：（）A、檢查分析計(jì)劃實(shí)施總結(jié)B、監(jiān)控識別分析計(jì)劃實(shí)施C、檢查分析監(jiān)控預(yù)算實(shí)施D、監(jiān)控識別計(jì)劃執(zhí)行總結(jié)74.下面哪一種數(shù)據(jù)有效性編輯檢查被用來確定字段是否包含數(shù)據(jù)，是非0或空的（）A、校驗(yàn)數(shù)字B、存在性檢查C、完整性測試D、合理性檢查75.在業(yè)務(wù)持續(xù)性計(jì)劃中，RTO指的是（）。A、災(zāi)難備份和恢復(fù)B、恢復(fù)技術(shù)項(xiàng)目C、業(yè)務(wù)恢復(fù)時間目標(biāo)D、業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)76.災(zāi)難發(fā)生時，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的（）為恢復(fù)點(diǎn)目標(biāo)。A、時間要求B、時間點(diǎn)要求C、數(shù)據(jù)狀態(tài)D、運(yùn)行狀態(tài)77.某個基于TCP/IP的環(huán)境暴露于互聯(lián)網(wǎng)中。以下哪項(xiàng)最能確保在傳輸信息時存在完整的加密和身份認(rèn)證協(xié)議來保護(hù)消息？（）A、在具有IP安全的隧道模式下，使用身份認(rèn)證頭（AH）和封裝安全負(fù)載（ESP）嵌套的服務(wù)來完成工作B、采用RSA的數(shù)字簽名已實(shí)施C、使用采用RSA的數(shù)字認(rèn)證D、在TCP服務(wù)中完成工作78.雙因素認(rèn)證，可規(guī)避下列哪些攻擊？（）A、拒絕服務(wù)B、中間人C、鍵盤記錄D、暴力破解79.在信息安全管理日常工作中，需要與哪些機(jī)構(gòu)保持聯(lián)系？（）A、政府部門B、監(jiān)管部門C、外部專家D、以上都是80.PDR模型中，下面哪個措施不屬于防護(hù)（P）措施（）A、物理門禁B、防火墻C、入侵檢測D、加密81.在對IT流程的安全審計(jì)過程中，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)沒有關(guān)于安全程序的文檔。該審計(jì)師應(yīng)該：（）A、生成該程序的文檔B、中止審計(jì)C、進(jìn)行符合性測試D、識別并評估目前狀況下的組織活動82.下面關(guān)于訪問控制模型的說法不正確的是（）。A、DAC模型中主體對它所屬的對象和運(yùn)行的程序有全部的控制權(quán)B、DAC實(shí)現(xiàn)提供了一個基于“need-to-know”的訪問授權(quán)的方法，默認(rèn)拒絕任何人的訪問。訪問許可必須被顯示地賦予訪問者C、在MAC這種模型里，管理員管理訪問控制。管理員制定策略，策略定義了哪個主體能訪問哪個對象。但用戶可以改變它D、RBAC模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進(jìn)程和普通用戶可能有不同的角色。設(shè)置對象為某個類型，主體具有相應(yīng)的角色就可以訪問它83.統(tǒng)計(jì)數(shù)據(jù)指出，對大多數(shù)計(jì)算機(jī)系統(tǒng)來說，最大的威脅是（）。A、單位的雇員B、黑客和商業(yè)間諜C(jī)、未受培訓(xùn)的系統(tǒng)用戶D、技術(shù)產(chǎn)品和服務(wù)供應(yīng)商84.企業(yè)資源規(guī)劃中的總帳設(shè)置功能允許設(shè)定會計(jì)期間。對此功能的訪問被授予財(cái)務(wù)、倉庫和訂單錄入部門的用戶。這種廣泛的訪問最有可能是因?yàn)椋ǎ〢、經(jīng)常性地修改會計(jì)期間的需要B、需要向關(guān)閉的會計(jì)期間過入分錄C、缺乏適當(dāng)?shù)穆氊?zé)分工政策和步驟D、需要創(chuàng)建和修改科目表及其分配85.一個組織的網(wǎng)絡(luò)設(shè)備的資產(chǎn)價值為100000元，一場意外火災(zāi)使其損壞了價值的25%，按照經(jīng)驗(yàn)統(tǒng)計(jì)，這種火災(zāi)一般每5年發(fā)生一次，年預(yù)期損失ALE為（）。A、5000元B、10000元C、25000元D、15000元86.在windows操作系統(tǒng)中，欲限制用戶無效登錄的次數(shù)，應(yīng)當(dāng)怎么做？（）A、在“本地安全設(shè)置”中對“密碼策略”進(jìn)行設(shè)置B、在“本地安全設(shè)置”中對“賬戶鎖定策略”進(jìn)行設(shè)置C、在“本地安全設(shè)置”中對“審核策略”進(jìn)行設(shè)置D、在“本地安全設(shè)置”中對“用戶權(quán)利指派”進(jìn)行設(shè)置87.在linux系統(tǒng)中磁盤分區(qū)用哪個命令：（）A、fdiskB、mvC、mountD、df88.根據(jù)《信息系統(tǒng)安全保障評估框架第四部分：工程保障》安全工程過程是（）。A、未實(shí)施、基本實(shí)施、計(jì)劃跟蹤、量化控制、充分定義和持續(xù)改進(jìn)B、未實(shí)施、基本實(shí)施、計(jì)劃跟蹤，充分定義、量化控制和持續(xù)改進(jìn)C、基本實(shí)施、計(jì)劃跟蹤、充分定義、量化控制和持續(xù)改進(jìn)等5個D、基本實(shí)施、計(jì)劃跟蹤、量化控制、充分定義和持續(xù)改進(jìn)等5個89.以下對于蠕蟲病毒的說法錯誤的是（）。A、通常蠕蟲的傳播無需用戶的操作B、蠕蟲病毒的主要危害體現(xiàn)在對數(shù)據(jù)保密性的破壞C、蠕蟲的工作原理與病毒相似，除了沒有感染文件階段D、是一段能不以其他程序?yàn)槊浇?，從一個電腦系統(tǒng)復(fù)制到另一個電腦系統(tǒng)的程序90.OSI開放系統(tǒng)互聯(lián)安全體系構(gòu)架中的安全服務(wù)分為鑒別服務(wù)、訪問控制、機(jī)密性服務(wù)、完整服務(wù)、抗抵賴服務(wù)，其中機(jī)密性服務(wù)描述正確的是（）。A、包括原發(fā)方抗抵賴和接受方抗抵賴B、包括連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性和業(yè)務(wù)流保密C、包括對等實(shí)體鑒別和數(shù)據(jù)源鑒別D、包括具有恢復(fù)功能的連接完整性、沒有恢復(fù)功能的連接完整性、選擇字段連接完整性、無連接完整性和選擇字段無連接完整性91.Contractsandagreementsareoftentimesunenforceableorhardtoenforceinwhichofthefollowingalternatefacilityrecoveryagreement?在以下哪個備用設(shè)施恢復(fù)協(xié)議中，合同和協(xié)議往往不能執(zhí)行或者難以執(zhí)行？（）A、hotsite.熱站B、coldsite.冷站C、reciprocalagreement.互惠協(xié)議D、warmsite.溫站92.TCP采用第三次握手來建立一個連接，第二次握手傳輸什么信息？（）A、SYNB、SYN+ACKC、ACKD、FIN93.一個信息系統(tǒng)審計(jì)師要評定公司和外包服務(wù)提供商之間的服務(wù)水平協(xié)議（SLA）。下面哪一個檢查審計(jì)師認(rèn)為最重視？服務(wù)水平協(xié)議（SLA）不包括：（）A、在過期或終止合同情形下，從舊的供應(yīng)商遷移到新的供應(yīng)商的條款B、顧客和供應(yīng)商的晚付款條款C、對服務(wù)提高的合同承諾D、合同方之間的糾紛解決程序94.啟動程序加載95.安全管理評估工具通常不包括（）。A、調(diào)查問卷B、檢查列表C、訪談提綱D、漏洞掃描96.考慮將應(yīng)用程序從測試環(huán)境轉(zhuǎn)換到生產(chǎn)環(huán)境，提供的最好的控制是（）。A、應(yīng)用程序員拷貝源程序并編譯目標(biāo)代碼到生產(chǎn)庫中B、應(yīng)用程序員拷貝源程序到產(chǎn)品庫，生產(chǎn)控制組編譯源程序C、生產(chǎn)控制組編譯目標(biāo)模塊到生產(chǎn)庫中，使用測試環(huán)境中的源代碼D、生產(chǎn)控制組拷貝源程序到生產(chǎn)庫中，然后編譯源程序97.以下哪種訪問控制策略需要安全標(biāo)簽？（）A、基于角色的策略B、基于標(biāo)識的策略C、用戶指向的策略D、強(qiáng)制訪問控制策略98.在信息系統(tǒng)審計(jì)時，對于需要收集的數(shù)據(jù)的程序是基于以下哪項(xiàng)而決定的？（）A、重要信息及需求信息的可用性B、審計(jì)師對環(huán)境的熟悉程度C、被審計(jì)機(jī)構(gòu)找到相關(guān)證據(jù)的能力D、審計(jì)項(xiàng)目的目的和范圍99.風(fēng)險評估工具的使用在一定程度上解決了手動評佑的局限性，最主要的是它能夠?qū)＜抑R進(jìn)行集中，使專家的經(jīng)驗(yàn)知識被廣泛使用，根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用愿理，風(fēng)險評估工具可以為以下幾類，其中錯誤的是（）A、風(fēng)險評估與管理工具B、系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具C、風(fēng)險評估輔助工具D、環(huán)境風(fēng)險評估工具100.在小公司中職責(zé)分離可能不實(shí)際，一個雇員可能同時執(zhí)行服務(wù)器操作員和應(yīng)用程序員職責(zé)信息系統(tǒng)審計(jì)師應(yīng)該建議下列哪個控制（）。A、對開發(fā)程序庫變更自動日志B、雇傭額外的技術(shù)人員實(shí)現(xiàn)職責(zé)分離C、執(zhí)行只有批準(zhǔn)的程序變更才能被上線的流程D、預(yù)防操