分享到微信
信息安全工程师当天每日一练试题地址:http://www.cnitpm.com/exam/ExamDay.aspx?t1=6
往期信息安全工程师每日一练试题汇总:http://www.cnitpm.com/class27-6-1.aspx
信息安全工程师每日一练试题(2017/5/16)在线测试:http://www.cnitpm.com/exam/ExamDay.aspx?t1=6&day=2017/5/16
信息安全工程师每日一练试题内容(2017/5/16)
试题1: 某网站向 CA 申请了数字证书,用户通过( )来验证网站的真伪
A、CA 的签名
B、证书中的公钥
C、网站的私钥
D、用户的公钥
试题参考答案:A
试题2: 以下关于第三方认证服务的叙述中,正确的是()。
A.Kerberos认证服务中保存数字证书的服务器叫CA
B.第三方认证服务的两种体制分别是Kerberos和PKI
C.PKI体制中保存数字证书的服务器叫KDC
D.Kerberos的中文全称是“公钥基础设施”
试题解析与讨论:http://www.cnitpm.com/st/1885710026.html
试题参考答案:B
试题3: 以下说法错误的是()。
A、安全是一个可用性与安全性之间的平衡过程
B、安全的三要素中包含完整性
C、可以做到绝对的安全
D、网络安全是信息安全的子集
试题解析与讨论:http://www.cnitpm.com/st/224006606.html
试题参考答案:C
试题4: PDR模型与访问控制的主要区别()
A、PDR把安全对象看作一个整体
B、PDR作为系统保护的第一道防线
C、PDR采用定性评估与定量评估相结合
D、PDR的关键因素是人
试题解析与讨论:http://www.cnitpm.com/st/2400515474.html
试题参考答案:
试题5: 代理服务器通常在_____实现()
A、网络层
B、传输层
C、应用层
试题解析与讨论:http://www.cnitpm.com/st/242352178.html
试题参考答案:C
试题6: 网络监控目前的主要不足之一是()
A、监强控弱
B、监弱控强
C、监控均弱
试题解析与讨论:http://www.cnitpm.com/st/242874283.html
试题参考答案:A
试题7: “信息安全”中的“信息”是指()
A、以电子形式存在的数据
B、计算机网络
C、信息本身、信息处理设施、信息处理过程和信息处理者
D、软硬件平台
试题解析与讨论:http://www.cnitpm.com/st/2440926427.html
试题参考答案:C
试题8:
某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M 公司为承建单位,并选择了H 监理公司承担该项目的全程监理工作,目前,各
个应用系统均已完成开发,M 公司已经提交了验收申请,监理公司需要对A 公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:()
A.项目计划书
B.质量控制计划
C.评审报告
D.需求说明书
试题参考答案:D
试题9:
下面关于信息系统安全保障的说法不正确的是:()
A.信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关
B.信息系统安全保障要素包括信息的完整性、可用性和保密性
C.信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障
D.信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命
试题参考答案:B
试题10:
在评估逻辑访问控制时,应该首先做什么()
A.把应用在潜在访问路径上的控制项记录下来
B.在访问路径上测试控制来检测是否他们具功能化
C.按照写明的策略和实践评估安全环境
D.对信息流程的安全风险进行了解
试题参考答案:D
试题11:
在进行业务连续性检测时,下列哪一个是被认为最重要的审查?()
A.热站的建立和有效是必要
B.业务连续性手册是有效的和最新的
C.保险责任范围是适当的并且保费有效
D.及时进行介质备份和异地存储
试题参考答案:D
试题12:
关于标准、指南、程序的描述,哪一项是最准确的?()
A.标准是建议性的策略,指南是强制执行的策略
B.程序为符合强制性指南的一般性建议
C.程序是为符合强制性指南的一般性建议
D.程序是为符合强制性标准的的说明
试题参考答案:D
试题13:
监视恶意代码主体程序是否正常的技术是?()
A.进程守护
B.备份文件
C.超级权限
D.HOOK技术
试题参考答案:A
试题14:
防范密码嗅探攻击计算机系统的控制措施包括下列哪一项?()
A.静态和重复使用的密码。
B.加密和重复使用的密码。
C.一次性密码和加密。
D.静态和一次性密码。
试题参考答案:C
试题15:
有关密码学分支的定义,下列说法中错误的是: ()
A、密码学是研究信息系统安全保密的科学,由两个相互对立、相互斗争、而且又相辅相成、相互渗透的分支科学所组成的、分别称为密码编码学和密码分析学
B、密码编码学是对密码体制、密码体制的输入输出关系进行分析、以便推出机密变量、包括明文在内的敏感数据
C、密码分析学主要研究加密信息的破译或信息的伪造
D、密码编码学主要研究对信息进行编码,实现信息的隐藏
试题参考答案:B
试题16:
下列安全控制措施的分类中,哪个分类是正确的(P-预防性的,D-检测性的以及C-纠正性的控制):1.网络防火墙 2.RAID级别3.银行账单的监督复审4.分配计算机用户标识5.交易日志()
A.)P,P,C,D,andC
B.)D,C,C,D,andD
C.)P,C,D,P,andD
D.)P,D,P,P,andC
试题参考答案:C
试题17:
在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于。
A、明文
B、密文
C、密钥
D、信道
试题参考答案:C
试题18:
拒绝服务攻击损害了信息系统的哪一项性能?()
A.完整性
B.可用性
C.保密性
D.可靠性
试题参考答案:B
试题19:
“TCPSYNPlooding”建立大量处于半连接状态的TCP连接,其攻击目标是网络的()。
A.保密性
B.完整性
C.真实性
D.可用性
试题参考答案:D
试题20:
下面哪个不是ISO27000系列包含的标准?()
A.《信息安全管理体系要求》
B.《信息安全风险管理》
C.《信息安全度量》
D.《信息安全评估规范》
试题参考答案:D
试题21:
以下关于软件安全测试说法正确的是?()
A、软件安全测试就是黑盒测试
B、Fuzz测试是经常采用的安全测试方法之一
C、软件安全测试关注的是软件的功能
D、软件安全测试可以发现软件中产生的所有安全问题
试题参考答案:B
试题22:
目前对消息摘要算法(MD5),安全哈希算法(SHA1)的攻击是指?()
A、能够构造出两个不同的消息,这两个消息产生了相同的消息摘要。
B、对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要。
C、对于一个已知的消息摘要,能够恢复其原始消息
D、对于一个已知的消息,能够构造出一个不同的消息摘要,也能通过验证
试题参考答案:A
试题23:
以下场景描述了基于角色的访问控制模型(Role-based AccessControl.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位、职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型,下列说法错误的是:()
A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝
B.业务系统中的岗位、职位或者分工,可对应RBAC模型中的角色
C.通过角色,可实现对信息资源访问的控制
D.RBAC模型不能实现多级安全中的访问控制
试题参考答案:D
试题24:
我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面,以下关于信息安全保障建设主要工作内容说法不正确的是:()
A.健全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障
B.建设信息安全基础设施,提供国家信息安全保障能力支撑
C.建立信息安全技术体系,实现国家信息化发展的自主创新
D.建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养
试题参考答案:C
试题25: Which of the following tests performed by an IS auditor would be the MOST effective in determining compliance with an organization's change control procedures?
A、Review software migration records and verify approvals.
B、Identify changes that have occurred and verify approvals.
C、Review change control documentation and verify approvals.
D、Ensure that only appropriate staff can migrate changes into production.
试题解析与讨论:http://www.cnitpm.com/st/2917623771.html
试题参考答案:B
试题26: The use of digital signatures:
A、requires the use of a one-time password generator.
B、provides encryption to a message.
C、validates the source of a message.
D、ensures message confidentiality.
试题解析与讨论:http://www.cnitpm.com/st/2920826248.html
试题参考答案:C
试题27: The optimum business continuity strategy for an entity is determined by the:
A、lowest downtime cost and highest recovery cost.
B、lowest sum of downtime cost and recovery cost.
C、lowest recovery cost and highest downtime cost.
D、average of the combined downtime and recovery cost.
试题解析与讨论:http://www.cnitpm.com/st/292471053.html
试题参考答案:B
试题28: An IS auditor invited to a development project meeting notes that no project risks have been documented. When the IS auditor raises this issue, the project manager responds that it is too early to identify risks and that, if risks do start impacting the project, a risk manager will be hired. The appropriate response of the IS auditor would be to:
A、stress the importance of spending time at this point in the project to consider and document risks, and to develop contingency plans.
B、accept the project manager's position as the project manager is accountable for the outcome of the project.
C、offer to work with the risk manager when one is appointed.
D、inform the project manager that the IS auditor will conduct a review of the risks at the completion of the requirements definition phase of the project.
试题解析与讨论:http://www.cnitpm.com/st/292658997.html
试题参考答案:A
试题29: The feature of a digital signature that ensures the sender cannot later deny generating and sending the message is called:
A、data integrity.
B、authentication.
C、nonrepudiation.
D、replay protection.
试题解析与讨论:http://www.cnitpm.com/st/2927019849.html
试题参考答案:C
试题30: To ensure authentication, confidentiality and integrity of a message, the sender should encrypt the hash of the message with the sender's:
A、public key and then encrypt the message with the receiver's private key.
B、private key and then encrypt the message with the receiver's public key.
C、public key and then encrypt the message with the receiver's public key.
D、private key and then encrypt the message with the receiver's private key.
试题解析与讨论:http://www.cnitpm.com/st/2930222630.html
试题参考答案:B
试题31: Which of the following is an advantage of the top-down approach to software testing?
A、Interface errors are identified early
B、Testing can be started before all programs are complete
C、It is more effective than other testing approaches
D、Errors in critical modules are detected sooner
试题解析与讨论:http://www.cnitpm.com/st/293389614.html
试题参考答案:A
试题32: Which of the following would BEST support 24/7 availability?
A、Daily backup
B、Offsite storage
C、Mirroring
D、Periodic testing
试题解析与讨论:http://www.cnitpm.com/st/293562777.html
试题参考答案:C
试题33: An IS auditor should review the configuration of which of the following protocols to detect unauthorized mappings between the IP address and the media access control (MAC) address?
A、Simple Object Access Protocol (SOAP)
B、Address Resolution Protocol (ARP)
C、Routing Information Protocol (RIP)
D、Transmission Control Protocol (TCP)
试题解析与讨论:http://www.cnitpm.com/st/294009842.html
试题参考答案:B
试题34: An offsite information processing facility with electrical wiring, air conditioning and flooring, but no computer or communications equipment, is a:
A、cold site.
B、warm site.
C、dial-up site.
D、duplicate processing facility.
试题解析与讨论:http://www.cnitpm.com/st/2947815086.html
试题参考答案:A
试题35: A company undertakes a business process reengineering (BPR) project in support of a new and direct marketing approach to its customers. Which of the following would be an IS auditor's main concern about the new process?
A、Whether key controls are in place to protect assets and information resources
B、If the system addresses corporate customer requirements
C、Whether the system can meet the performance goals (time and resources)
D、Whether owners have been identified who will be responsible for the process
试题解析与讨论:http://www.cnitpm.com/st/294925261.html
试题参考答案:A
试题36: An IS auditor is performing a network security review of a telecom company that provides Internet connection services to shopping malls for their wireless customers. The company uses Wireless Transport Layer Security (WTLS) and Secure Sockets Layer (SSL) technology for protecting their customer's payment information. The IS auditor should be MOST concerned if a hacker:
A、compromises the Wireless Application Protocol (WAP) gateway.
B、installs a sniffing program in front of the server.
C、steals a customer's PDA.
D、listens to the wireless transmission.
试题解析与讨论:http://www.cnitpm.com/st/2949620302.html
试题参考答案:A
试题37: Which of the following cryptography options would increase overhead/cost?
A、The encryption is symmetric rather than asymmetric.
B、A long asymmetric encryption key is used.
C、The hash is encrypted rather than the message.
D、A secret key is used.
试题解析与讨论:http://www.cnitpm.com/st/2949818863.html
试题参考答案:B
试题38: After a full operational contingency test, an IS auditor performs a review of the recovery steps. The auditor concludes that the time it took for the technological environment and systems to return to full-functioning exceeded the required critical recovery time. Which of the following should the auditor recommend?
A、Perform an integral review of the recovery tasks.
B、Broaden the processing capacity to gain recovery time.
C、Make improvements in the facility's circulation structure.
D、Increase the amount of human resources involved in the recovery.
试题解析与讨论:http://www.cnitpm.com/st/295979452.html
试题参考答案:A
试题39: An IS auditor conducting a review of disaster recovery planning (DRP) at a financial processing organization has discovered the following:
The existing disaster recovery plan was compiled two years earlier by a systems analyst in the organization's IT department using transaction flow projections from the operations department.
The plan was presented to the deputy CEO for approval and formal issue, but it is still awaiting their attention.
The plan has never been updated, tested or circulated to key management and staff, though interviews show that each would know what action to take for its area in the event of a disruptive incident.
The IS auditor's report should recommend that:
A、the deputy CEO be censured for their failure to approve the plan.
B、a board of senior managers is set up to review the existing plan.
C、the existing plan is approved and circulated to all key management and staff.
D、a manager coordinates the creation of a new or revised plan within a defined time limit.
试题解析与讨论:http://www.cnitpm.com/st/2963115703.html
试题参考答案:D
试题40: The responsibility for authorizing access to application data should be with the:
A、data custodian.
B、database administrator (DBA).
C、data owner.
D、security administrator.
试题解析与讨论:http://www.cnitpm.com/st/2983121619.html
试题参考答案:C
试题41: An IS auditor notes that IDS log entries related to port scanning are not being analyzed. This lack of analysis will MOST likely increase the risk of success of which of the following attacks?
A、Denial-of-service
B、Replay
C、Social engineering
D、Buffer overflow
试题解析与讨论:http://www.cnitpm.com/st/298592676.html
试题参考答案:A
试题42: 除了对所有的系统进行备份以外,以下哪一种是要考虑在线备份的()
A、系统软件参数
B、周期性的交易记录
C、文件目录的备份
D、对重要数据的异地备份
试题解析与讨论:http://www.cnitpm.com/st/2993213711.html
试题参考答案:B
试题43: 对于一个大的用于网上后屋的数据支持的数据库的最好的备份策略是什么?()
A、每周完整备份,每日增量备份
B、每日玩着鞥备份
C、集群
D、磁盘镜像
试题解析与讨论:http://www.cnitpm.com/st/2993818671.html
试题参考答案:A
试题44: 在一个组织中,对于IT安全的责任是清晰且强制的,并且IT安全影响分析是经常进行的。这表明这是在信息安全治理模型的那个层级()
A、最优化
B、已管理级
C、已定义级
D、可重复级
试题解析与讨论:http://www.cnitpm.com/st/2996516916.html
试题参考答案:B
试题45: 数据流程图被IS审计师用来()
A、数据分层
B、数据鉴别
C、绘成图的数据流程和贮存
D、一步步描绘数据产生的细节
试题解析与讨论:http://www.cnitpm.com/st/299917172.html
试题参考答案:C
试题46: 下面哪个风险是由直线撷取技术引起的:()
A、未授权的数据访问
B、额外的CPU使用率
C、终端停工
D、多元控制混乱
试题解析与讨论:http://www.cnitpm.com/st/3004829882.html
试题参考答案:A
试题47: 在评估完它的业务流程后,一个大型组织整打算配置一个新的基于语音通话的应用。下面哪一个是最合适的实施访问控制并将可以推动语音网络运用的安全管理:()
A、详尽的访问控制
B、基于角色的访问控制
C、访问控制列表
D、网络/服务访问控制
试题解析与讨论:http://www.cnitpm.com/st/3005126865.html
试题参考答案:B
试题48: 信息系统审计师检查一个IT设备的外包合同时,会期望合同定义了:()
A、硬件配置
B、访问控制软件
C、知识产权的所有者
D、应用开发方法论
试题解析与讨论:http://www.cnitpm.com/st/301743682.html
试题参考答案:C
试题49: 生物测量系统的精确度指标是:()
A.系统响应时间
B.注册时间
C.输入文件的大小
D.错误接受率
试题解析与讨论:http://www.cnitpm.com/st/3048118782.html
试题参考答案:D
试题50: 在关系数据库维护期间,许多外键的值在关系数据库过渡表里面损坏了,结论是:()
A、当这些交换进行的时候,包含在交换期间的细节与主数据不再有关联,导致了错误
B、除了删除不稳定的元组,或者重新进行数据交换,没有别的方法重构建信息
C、数据库会立刻停止运行,并且丢失更多的信息
D、数据不不再接受输入数据
试题解析与讨论:http://www.cnitpm.com/st/305454460.html
试题参考答案:A
扫码关注公众号
温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!
信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。
信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。
相关内容
| 发表评论 查看完整评论 | |
考试新手指南
学习计划攻略
精华备考资料
案例论文干货
章节模拟试题
免费试听课程
考试信息推送