第1题：

The information security policy that states “each individual must have their badge read at every controlled door” addresses which of the following attack methods?

A、Piggybacking

B、Shoulder surfing

C、Dumpster diving

D、Impersonation

信管网参考答案：A

信管网参考解析：信息安全策略中指明“每个人在每个受控的门前都要提交证章供检查”，这主要是针对下面哪一项攻击手段？

A、尾随

B、窥视

C、垃圾数据研究

D、伪装

注：指的是未经授权的人捎带以下授权者，不论是身体上的还是虚拟的，进入限制区域。这项政策解决了为陌生人开门的礼貌行为问题。如果每个员工必须在每个控制的门上读到他们的徽章，任何未经授权的人都不能进入敏感区域。查看用户获取敏感信息的肩膀可以通过未经授权的人进入区域使用捎带做的，但这一政策具体是指物理访问控制。实施此政策不会阻止肩冲浪。垃圾搜寻，寻找有价值的信息，通过对一个组织的垃圾，可以做公司外部的物理边界；因此，这一政策不该攻击方法的地址。模仿是指一个社会工程师作为一个员工，试图检索所需的信息。社会工程攻击的某些形式可以加入一个模仿攻击和利用，但这些信息安全策略不地址假冒攻击。

第2题：

以下不属于信息安全风险评估中需要识别的对象是（）

A.资产识别

B.威胁识别

C.风险识别

D.脆弱性识别

信管网参考答案：C

信管网参考解析：

本题考查信息安全风险评估方面的知识。

信息安全风险评估是依照科学的风险管理程序和方法,充分地对组成系统的各部分所面临的危险因素进行分析评价,针对系统存在的安全问题,根据系统对其自身的安全需求,提出有效的安全措施,达到最大限度减少风险、降低危害和确保系统安全运行的目的。信息安全风险评估中需要识别的对象包括:资产识别、威胁识别、脆弱性识别