信息安全工程师当天每日一练试题地址:http://www.cnitpm.com/exam/ExamDay.aspx?t1=6
往期信息安全工程师每日一练试题汇总:http://www.cnitpm.com/class27-6-1.aspx
信息安全工程师每日一练试题(2017/12/11)在线测试:http://www.cnitpm.com/exam/ExamDay.aspx?t1=6&day=2017/12/11
信息安全工程师每日一练试题内容(2017/12/11)
试题
1:
某Web网站向CA申请了数字证书。用户登录该网站时,通过验证 (1) ,可确认该数字证书的有效性,从而 (2) 。
(1)A、CA的签名
B、网站的签名
C、会话密钥
D、DES密码
(2)A、向网站确认自己的身份
B、获取访问网站的权限
C、和网站进行双向认证
D、验证该网站的真伪
试题解析与讨论:
http://www.cnitpm.com/st/79312731.html试题参考答案:A、D
试题
2: Code Red爆发于2001年7月,利用微软的IIS漏洞在Web服务器之间传播。针对这一漏洞,微软早在2001年三月就发布了相关的补丁。如果今天服务器仍然感染Code Red,那么属于哪个阶段的问题?()
A、微软公司软件的设计阶段的失误
B、微软公司软件的实现阶段的失误
C、系统管理员维护阶段的失误
D、最终用户使用阶段的失误
试题解析与讨论:
http://www.cnitpm.com/st/2405918200.html试题参考答案:C
试题
3:
规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时,形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中,该《待评估信息系统相关设备及资产清单》应是如下( )中的输出结果。
A.风险评估准备
B.风险要素识别
C.风险分析
D.风险结果判定
试题解析与讨论:
http://www.cnitpm.com/st/2573912391.html试题参考答案:B
试题
4:
北京某公司利用SSE-CMM 对其自身工程队伍能力进行自我改善,其理解正确的是:
A.系统安全工程能力成熟度模型(SSE-CMM)定义了6 个能力级别。当工程队伍不能执行一个过程域中的基本实践时,该过程域的过程能力是0 级。
B.达到SSE-CMM 最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同。
C.系统安全工程能力成熟度模型(SSE-CMM)定义了3 个风险过程:评价威胁,评价脆弱性,评价影响。
D.SSE-CMM 强调系统安全工程与其他工程学科的区别性和独立性。
试题解析与讨论:
http://www.cnitpm.com/st/2574319807.html试题参考答案:A
试题
5:
以下哪个选项不是信息中心(IC)工作职能的一部分?()
A.准备最终用户的预算
B.选择PC的硬件和软件
C.保持所有PC的硬件和软件的清单
D.提供被认可的硬件和软件的技术支持
试题解析与讨论:
http://www.cnitpm.com/st/260712273.html试题参考答案:A
试题
6:
小王是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识,小王的主要观点包括:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果;(3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析;(4)背景建立的阶段性成果包括:风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告。请问小王的所述论点中错误的是哪项:()
A.第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象
B.第二个观点,背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准
C.第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字
D.第四个观点,背景建立的阶段性成果中不包括有风险管理计划书
试题解析与讨论:
http://www.cnitpm.com/st/274394227.html试题参考答案:B
试题
7: Which of the following encrypt/decrypt steps provides the GREATEST assurance of achieving confidentiality, message integrity and nonrepudiation by either sender or recipient?
A、The recipient uses their private key to decrypt the secret key.
B、The encrypted prehash code and the message are encrypted using a secret key.
C、The encrypted prehash code is derived mathematically from the message to be sent.
D、The recipient uses the sender's public key, verified with a certificate authority, to decrypt the prehash code.
试题解析与讨论:
http://www.cnitpm.com/st/2916715262.html试题参考答案:D
试题
8: Which of the following is a prevalent risk in the development of end-user computing (EUC) applications?
A、Applications may not be subject to testing and IT general controls
B、Increased development and maintenance costs
C、Increased application development time
D、Decision-making may be impaired due to diminished responsiveness to requests for information
试题解析与讨论:
http://www.cnitpm.com/st/2939310201.html试题参考答案:A
试题
9: During a security audit of IT processes, an IS auditor found that there were no documented security procedures. The IS auditor should:
A、create the procedures document.
B、terminate the audit.
C、conduct compliance testing.
D、identify and evaluate existing practices.
试题解析与讨论:
http://www.cnitpm.com/st/2955220511.html试题参考答案:D
试题
10: 下列哪一个是审计师要考虑的弱点,当其企业使用公开密码匙基础设施的数码证书对消费者通过互联网交易时?()
A.客户广泛分发证书,但该证书授权没有。
B.客户可以使他们的交易在任何一台计算机或移动设备。
C.证书颁发机构有几个数据处理子中心管理证书。
D.组织是拥有该证书的权威
试题解析与讨论:
http://www.cnitpm.com/st/3020028775.html试题参考答案:D