長風(fēng)破浪會(huì)有時(shí)，直掛云帆濟(jì)滄海。安防生產(chǎn)行業(yè)技能考試-注冊(cè)信息安全專業(yè)人員筆試（2018-2023年）真題摘選含答案（圖片大小可自由調(diào)整）卷I一.參考題庫(共30題)1.拓?fù)鋵W(xué)2.作業(yè)控制語言3.以下對(duì)windows賬號(hào)的描述，正確的是：（）。A、windows系統(tǒng)是采用SID（安全標(biāo)識(shí)符）來標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限B、windows系統(tǒng)是采用用戶名來標(biāo)識(shí)用戶對(duì)文件或文件夾的權(quán)限C、windows系統(tǒng)默認(rèn)會(huì)生成administration和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都不允許改名和刪除D、windows系統(tǒng)默認(rèn)生成administration和guest兩個(gè)賬號(hào)，兩個(gè)賬號(hào)都可以改名和刪除4.審計(jì)軌跡的主要目的是（）。A、改善用戶響應(yīng)時(shí)間B、確定交易過程的責(zé)任和權(quán)利C、提高系統(tǒng)的運(yùn)行效率D、為審計(jì)人員追蹤交易提供有用的資料5.下列我國哪一個(gè)政策性文件明確了我國信息安全保障工作的方針和總體要求以及加強(qiáng)信息安全保障工作的主要原則：（）A、《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》B、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》C、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保護(hù)的意見》D、《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》6.一個(gè)IS審計(jì)師邀請(qǐng)參與一個(gè)關(guān)鍵項(xiàng)目的啟動(dòng)會(huì)議，信息系統(tǒng)審計(jì)師主要關(guān)注的是：（）A、已分析過項(xiàng)目的復(fù)雜性和風(fēng)險(xiǎn)B、已判斷了貫穿整個(gè)項(xiàng)目所需的資源C、項(xiàng)目交付結(jié)果已確定D、外包方合同已簽約7.TCP采用第三次握手來建立一個(gè)連接，第二次握手傳輸什么信息？（）A、SYNB、SYN+ACKC、ACKD、FIN8.在一個(gè)業(yè)務(wù)繼續(xù)計(jì)劃的模擬演練中，發(fā)現(xiàn)報(bào)警系統(tǒng)嚴(yán)重受到設(shè)施破壞。下列選項(xiàng)中，哪個(gè)是可以提供的最佳建議？（）A、培訓(xùn)救護(hù)組如何使用報(bào)警系統(tǒng)B、報(bào)警系統(tǒng)為備份提供恢復(fù)C、建立冗余的報(bào)警系統(tǒng)D、把報(bào)警系統(tǒng)存放地窖里9.以下哪種方法有助于確保連接數(shù)據(jù)庫的應(yīng)用程序的可移植性（）。A、確保數(shù)據(jù)庫導(dǎo)入和導(dǎo)出處理B、使用結(jié)構(gòu)化查詢語言（SQL）C、分析存儲(chǔ)處理/TriggersD、數(shù)據(jù)庫物理模式與實(shí)體聯(lián)系模型同步10.下面哪一個(gè)控制措施有助于在數(shù)據(jù)輸入時(shí)防止付款憑證的重復(fù)錄入？（）A、范圍檢查B、置換和替代C、順序檢查D、循環(huán)冗余校驗(yàn)（CRC）11.電子郵件的機(jī)密性與真實(shí)性是通過下列哪一項(xiàng)實(shí)現(xiàn)的？（）A、用發(fā)送者的私鑰對(duì)消息進(jìn)行簽名，用接收者的公鑰對(duì)消息進(jìn)行加密B、用發(fā)送者的公鑰對(duì)消息進(jìn)行簽名，用接收者的私鑰對(duì)消息進(jìn)行加密C、用接受者的私鑰對(duì)消息進(jìn)行簽名，用發(fā)送者的公鑰對(duì)消息進(jìn)行加密D、用接受者的公鑰對(duì)消息進(jìn)行簽名，用發(fā)送者的私鑰對(duì)消息進(jìn)行加密12.以下哪項(xiàng)控制能夠最有效的檢測(cè)入侵？（）A、通過授權(quán)的程序來授予用戶ID和用戶權(quán)限B、工作站在特定時(shí)間段內(nèi)不活動(dòng)會(huì)自動(dòng)注銷C、在失敗嘗試達(dá)到指定次數(shù)后，系統(tǒng)自動(dòng)注銷D、由安全管理員監(jiān)視未成功的登錄嘗試13.IS審計(jì)師評(píng)估系統(tǒng)變更的測(cè)試結(jié)果，這個(gè)系統(tǒng)用于處理繳納結(jié)算。審計(jì)師發(fā)現(xiàn)50%的計(jì)算結(jié)果不能和預(yù)先定義的總數(shù)匹配。IS審計(jì)師最有可能采取下面哪一步措施（）。A、對(duì)于出錯(cuò)的計(jì)算，設(shè)計(jì)進(jìn)一步的測(cè)試B、確定可能導(dǎo)致測(cè)試結(jié)果錯(cuò)誤的變量C、檢查部分測(cè)試案例，以便確認(rèn)結(jié)果D、記錄結(jié)果，準(zhǔn)備包括發(fā)現(xiàn)、結(jié)論和建議的報(bào)告14.規(guī)劃不足和編程中引入的風(fēng)險(xiǎn)為（）。A、釣魚B、緩沖區(qū)溢出C、SYN攻擊D、暴力破解15.一個(gè)制造商正在開發(fā)一個(gè)新的數(shù)據(jù)庫系統(tǒng)，該系統(tǒng)用來處理批量訂單所生產(chǎn)的產(chǎn)品的有關(guān)數(shù)據(jù)工作人員每天要回答客戶提出的有關(guān)訂貨的生產(chǎn)情況完工的訂貨在每天晚上要成批地打印出發(fā)票對(duì)生產(chǎn)數(shù)據(jù)最好的訪問方法是（）。A、索引順序的B、直接的C、雜亂無章的D、順序的16.審計(jì)師在數(shù)據(jù)庫的一些表中發(fā)現(xiàn)了超出范圍的數(shù)據(jù)。為避免這種情況，審計(jì)師應(yīng)該推薦下面哪一個(gè)選項(xiàng)？（）A、記錄所有的表更新交易B、在數(shù)據(jù)庫中實(shí)施完整性約束C、實(shí)施事前、事后圖像報(bào)告D、使用跟蹤和標(biāo)簽17.在控制應(yīng)用程序維護(hù)時(shí)，下面哪一項(xiàng)最有效（）。A、通知用戶變化的情況B、確定程序變化的優(yōu)先權(quán)C、關(guān)于程序變更獲得用戶批準(zhǔn)D、要求記錄用戶關(guān)于變化的說明18.以下關(guān)于訪問控制表和訪問能力表的說法正確的是（）。A、訪問能力表表示每個(gè)客體可以被訪問的主體及其權(quán)限B、訪問控制表說明了每個(gè)主體可以訪問的客體及權(quán)限C、訪問控制表一般隨主體一起保存D、訪問能力表更容易實(shí)現(xiàn)訪問權(quán)限的傳遞，但回收訪問權(quán)限較困難19.時(shí)間的流逝對(duì)服務(wù)中斷損失成本和中斷恢復(fù)成本會(huì)有什么影響？（）A、兩個(gè)成本增加B、中斷的損失成本增加，中斷恢復(fù)的成本隨時(shí)問的流逝而減少C、兩個(gè)成本都隨時(shí)間的流逝而減少D、沒有影響20.下面哪一項(xiàng)表示了信息不被非法篡改的屬性？（）A、可生存性B、完整性C、準(zhǔn)確性D、參考完整性21.有效的IT治理應(yīng)該確保IT計(jì)劃符合組織的（）。A、業(yè)務(wù)計(jì)劃B、審計(jì)計(jì)劃C、安全計(jì)劃D、投資計(jì)劃22.數(shù)值字段檢查23.業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的哪個(gè)部分，是企業(yè)IS部門的主要責(zé)任（）。A、制定業(yè)務(wù)連續(xù)性計(jì)劃B、選定、批準(zhǔn)業(yè)務(wù)連續(xù)性計(jì)劃的相關(guān)戰(zhàn)略C、遇災(zāi)報(bào)警D、災(zāi)后恢復(fù)IS系統(tǒng)和數(shù)據(jù)24.在審查電子資金轉(zhuǎn)帳系統(tǒng)（EFT）的結(jié)構(gòu)時(shí)，ＩＳ審計(jì)師注意到技術(shù)架構(gòu)基于集中處理方式，并且外包給國外處理。由于這些信息，下面哪一個(gè)結(jié)論是ＩＳ審計(jì)師最關(guān)注的（）。A、可能會(huì)有與司法權(quán)限范圍有關(guān)的問題B、由于有國外的供應(yīng)商可能會(huì)導(dǎo)致未來審計(jì)費(fèi)用超支C、由于距離，審計(jì)過程可能會(huì)很困難D、可能有不同的審計(jì)標(biāo)準(zhǔn)25.地址空間26.組織外包其軟件開發(fā)，以下哪一項(xiàng)是該組織IT管理的責(zé)任（）。A、支付服務(wù)提供商B、作為參加者參加系統(tǒng)設(shè)計(jì)C、控制外包商遵守服務(wù)合同D、與供養(yǎng)商談判合同27.下列哪種能力成熟程度模型的層次確保實(shí)現(xiàn)基本項(xiàng)目管理控制（）。A、重復(fù)（2級(jí)）B、定義（3級(jí)）C、管理（4級(jí)）D、優(yōu)化（5級(jí)）28.企業(yè)將其技術(shù)支持職能（helpdesk）外包出去，下面的哪一項(xiàng)指標(biāo)納入外包服務(wù)等級(jí)協(xié)定（SLA）是最恰當(dāng)?shù)模ǎ?。A、要支援用戶數(shù)B、首次請(qǐng)求技術(shù)支持，即解決的（事件）百分比C、請(qǐng)求技術(shù)支援的總?cè)舜蜠、電話回應(yīng)的次數(shù)29.下列哪項(xiàng)提供最好的方法識(shí)別行為和規(guī)章之間的問題（）。A、政策審核B、直接觀察C、規(guī)章審核D、訪談30.企業(yè)風(fēng)險(xiǎn)卷I參考答案一.參考題庫1.參考答案: 各個(gè)計(jì)算機(jī)節(jié)點(diǎn)間相連的配置，例如星形配置、環(huán)形配置及總線形配置。2.參考答案: 用以控制處理計(jì)算機(jī)作業(yè)的程序語言。3.參考答案:C4.參考答案:B5.參考答案:C6.參考答案:A7.參考答案:B8.參考答案:C9.參考答案:B10.參考答案:C11.參考答案:A12.參考答案:D13.參考答案:C14.參考答案:B15.參考答案:A16.參考答案:B17.參考答案:C18.參考答案:D19.參考答案:B20.參考答案:B21.參考答案:A22.參考答案: 編輯檢查的一種，用以確保在特定字段的數(shù)據(jù)是數(shù)值型態(tài)。23.參考答案:D24.參考答案:A25.參考答案: 以計(jì)算機(jī)地址可以找到的地址總數(shù)，對(duì)二位之機(jī)器而言，如果機(jī)器地址是n位則最大空間為2n。26.參考答案:C27.參考答案:A28.參考答案:B29.參考答案:B30.參考答案: 影響組織經(jīng)營或提供服務(wù)的風(fēng)險(xiǎn)，可能是財(cái)務(wù)、法規(guī)或控制引起的風(fēng)險(xiǎn)。卷II一.參考題庫(共30題)1.在應(yīng)用程序?qū)徲?jì)中，IS審計(jì)師發(fā)現(xiàn)有幾個(gè)問題是由于數(shù)據(jù)庫中篡改的數(shù)據(jù)造成的，IS審計(jì)師應(yīng)當(dāng)建議下面哪一項(xiàng)更正控制措施？（）A、實(shí)施數(shù)據(jù)備份和恢復(fù)B、制定標(biāo)準(zhǔn)并監(jiān)控該標(biāo)準(zhǔn)的遵守程度C、確保只有授權(quán)的用戶能更新數(shù)據(jù)庫D、建立控制機(jī)制以處理并行訪問帶來的問題2.為保證主記錄中的關(guān)鍵字段已被正確更新，最好采用下列哪一種辦法（）。A、欄位檢查B、求和校驗(yàn)與控制C、合理性檢查D、審查事前和事后的維護(hù)報(bào)告3.信息安全管理體系（informationSecurltyManagementSystem.ISMS）的內(nèi)部審核和管理審核是兩項(xiàng)重要的管理活動(dòng)，關(guān)于這兩者，下面描述錯(cuò)誤的是（）A、內(nèi)部審核和管理評(píng)審都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要?jiǎng)恿?，也都?yīng)當(dāng)按照一定的周期實(shí)施B、內(nèi)部審核的實(shí)施方式多采用文件審核和現(xiàn)場(chǎng)審核的形式，而管理評(píng)審的實(shí)施方式多采用召開管理評(píng)審會(huì)議的形式進(jìn)行C、內(nèi)部審核的實(shí)施主體由組織內(nèi)部的ISMS內(nèi)審小組，而管理評(píng)審的實(shí)施主體是由國家政策指定的第三方技術(shù)服務(wù)機(jī)構(gòu)D、組織的信息安全方針，信息目標(biāo)和有關(guān)ISMS文件等，在內(nèi)部審核中作為審核準(zhǔn)則使用，但在管理評(píng)審中，這些文件是被審對(duì)象4.小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。請(qǐng)問小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)（）。A、風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化5.在某個(gè)公司中，以下哪個(gè)角色最適合評(píng)估信息安全的有效性？（）A、公司的專家B、業(yè)務(wù)經(jīng)理C、IT審計(jì)員D、信息安全經(jīng)理6.某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)站的入站IOP流量上升了250%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對(duì)措施，作為主管負(fù)責(zé)人，請(qǐng)選擇有效的針對(duì)此問題的應(yīng)對(duì)措施（）A、在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入（關(guān)掉ping）B、刪除服務(wù)器上的ping.exe程序C、增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)器以應(yīng)對(duì)即將來臨的拒絕服務(wù)攻擊7.以下對(duì)于Windows系統(tǒng)的服務(wù)描述，正確的是：（）。A、windows服務(wù)必須是一個(gè)獨(dú)立的可執(zhí)行程序B、windows服務(wù)的運(yùn)行不需要用戶的交互登錄C、windows服務(wù)都是隨系統(tǒng)的啟動(dòng)而啟動(dòng)，無需用戶進(jìn)行干預(yù)D、windows服務(wù)都需要用戶進(jìn)行登錄后，以登錄用戶的權(quán)限進(jìn)行啟動(dòng)8.一個(gè)組織在廣泛地地理區(qū)域有一定數(shù)量的分支機(jī)構(gòu)。在成本效益的原則下，為了確保災(zāi)難恢復(fù)計(jì)劃的所有方面都評(píng)估到，一個(gè)IS審計(jì)師應(yīng)該建議使用以下哪項(xiàng)？（）A、數(shù)據(jù)恢復(fù)測(cè)試B、全盤測(cè)試C、后續(xù)測(cè)試D、準(zhǔn)備測(cè)試9.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是：（）A、既能物理隔離，又能邏輯隔離B、既能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離10.以下針對(duì)Land攻擊的描述，哪個(gè)是正確的？（）A、Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式，通過IP欺騙的方式向目標(biāo)主機(jī)發(fā)送欺騙性數(shù)據(jù)報(bào)文，導(dǎo)致目標(biāo)主機(jī)無法訪問網(wǎng)絡(luò)B、Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式，通過向主機(jī)發(fā)送偽造的源地址為目標(biāo)主機(jī)自身的連接請(qǐng)求，導(dǎo)致目標(biāo)主機(jī)處理錯(cuò)誤形成拒絕服務(wù)C、Land攻擊是一種利用協(xié)議漏洞進(jìn)行攻擊的方式，通過發(fā)送定制的錯(cuò)誤的數(shù)據(jù)包使主機(jī)系統(tǒng)處理錯(cuò)誤而崩潰D、Land是一種利用系統(tǒng)漏洞進(jìn)行攻擊的方式，通過利用系統(tǒng)漏洞發(fā)送數(shù)據(jù)包導(dǎo)致系統(tǒng)崩潰11.以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一？（）A、提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作12.風(fēng)險(xiǎn)評(píng)估實(shí)施過程中脆弱性識(shí)別主要包括什么方面？（）A、軟件開發(fā)漏洞B、網(wǎng)站應(yīng)用漏洞C、主機(jī)系統(tǒng)漏洞D、技術(shù)漏洞與管理漏洞13.以下哪一項(xiàng)對(duì)于備份信息處理設(shè)施的生存能力來說是必須存在的（）。A、該站點(diǎn)必須離主站點(diǎn)足夠近來保證快速有效的（業(yè)務(wù)）恢復(fù)。B、該站點(diǎn)必須包含可用的先進(jìn)的硬件設(shè)備。C、監(jiān)控主站點(diǎn)的負(fù)載從而確保有足夠的后備。D、（該站點(diǎn)的）硬件設(shè)備在安裝過程中都經(jīng)過了合適的測(cè)試，來保證其有效運(yùn)行。14.依據(jù)國家標(biāo)準(zhǔn)GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)是開發(fā)者、評(píng)估者和用戶在（）之間達(dá)成的一致。A、信息系統(tǒng)規(guī)劃和實(shí)施B、信息系統(tǒng)安全特性和評(píng)估范圍C、信息安全要求和安全目的D、風(fēng)險(xiǎn)和使命15.在Windows2000中可以察看開放端口情況的是（）。A、nbtstatB、netC、netshowD、netstat16.ISO27004是指以下哪個(gè)標(biāo)準(zhǔn)？（）A、《信息安全管理體系要求》B、《信息安全管理實(shí)用規(guī)則》C、《信息安全管理度量》D、《ISMS實(shí)施指南》17.下列對(duì)SSLVPN描述正確的是（）A、SSLVPN可以穿透任何防火墻的限制B、SSLVPN不需要安裝客戶端可以非常靈活的接入到網(wǎng)絡(luò)中C、SSLVPN可以在任何移動(dòng)設(shè)備上登陸D、SSLVPN可以實(shí)現(xiàn)嚴(yán)格的訪問控制和訪問權(quán)限18.某單位總部與各分部使用防火墻通過ISP專線實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，各分部網(wǎng)絡(luò)結(jié)構(gòu)相同，防火墻統(tǒng)一配置為：1口提供互聯(lián)網(wǎng)接入服務(wù)，2口配置為互聯(lián)總部。各分部防火墻的兩個(gè)端口配置哪種模式最合理？（）A、都是路由模式B、都是NAT模式C、路由模式和NAT模式D、NAT和路由模式19.生產(chǎn)軟件20.為保證生產(chǎn)環(huán)境程序庫的安全，以下哪種方法最好（）。A、安裝程序訪問日志系統(tǒng)B、監(jiān)視對(duì)程序庫介質(zhì)的物理訪問C、限制物理的和邏輯的訪問D、拒絕來自遠(yuǎn)程終端的訪問21.減少與釣魚相關(guān)的風(fēng)險(xiǎn)的最有效控制是（）。A、系統(tǒng)的集中監(jiān)控B、釣魚的信號(hào)包括在防病毒軟件中C、在內(nèi)部網(wǎng)絡(luò)上發(fā)布反釣魚策略D、對(duì)所有用戶進(jìn)行安全培訓(xùn)22.多任務(wù)法23.可執(zhí)行代碼24.一個(gè)組織打算購買軟件包，向IS審計(jì)師征求風(fēng)險(xiǎn)評(píng)估的意見。以下哪一個(gè)是其中的主要風(fēng)險(xiǎn)（）。A、得不到源代碼B、沒有制造商的質(zhì)量認(rèn)證C、缺乏供應(yīng)商/客戶參考D、供應(yīng)商對(duì)于軟件包的經(jīng)驗(yàn)很少25.以下哪一項(xiàng)是圖像處理的弱點(diǎn)（）。A、驗(yàn)證簽名B、改善服務(wù)C、相對(duì)較貴D、減少處理導(dǎo)致的變形26.下列哪一項(xiàng)準(zhǔn)確地定義了風(fēng)險(xiǎn)評(píng)估中的三個(gè)基本步驟？（）A、識(shí)別風(fēng)險(xiǎn)；評(píng)估風(fēng)險(xiǎn)；消減風(fēng)險(xiǎn)B、資產(chǎn)賦值；風(fēng)險(xiǎn)分析；防護(hù)措施C、資產(chǎn)賦值；識(shí)別風(fēng)險(xiǎn)；評(píng)估風(fēng)險(xiǎn)D、識(shí)別風(fēng)險(xiǎn)；資產(chǎn)賦值；消減風(fēng)險(xiǎn)27.