中国信息安全评测中心CISM认证模拟试题库-答案
信息安全技术试题库含答案
信息安全技术试题库含答案一、单选题(共59题,每题1分,共59分)1.在移位密码中,密钥k=9,明文字母为R,对应的密文字母为()。
A、AB、BC、CD、D正确答案:A2.()研究如何对密文进行破译。
A、密码分析学B、密码编码学C、数字签名D、信息隐藏正确答案:A3.SSL不是一个单独的协议,而是()协议。
A、两层B、四层C、八层D、十层正确答案:A4.回应请求与应答ICMP报文的主要功能是A、获取本网络使用的子网掩码B、报告IP数据报中的出错参数C、测试目的主机或路由器的可达性D、将IP数据报进行重新定向正确答案:C5.()是指对消息的真实性和完整性的验证。
A、消息认证B、加密C、身份识别D、解密正确答案:A6.移位密码的密钥空间为K={0,1,2,…,25},因此最多尝试()次即可恢复明文。
A、1024B、26C、512D、2正确答案:B7.在网络通信中,防御传输消息被篡改的安全措施是()。
A、加密技术B、完整性技术C、数字水印技术D、认证技术正确答案:B8.在网络安全中,截取是指未授权的实体得到了资源的访问权。
这是对A、保密性的攻击B、真实性的攻击C、完整性的攻击D、可用性的攻击正确答案:A9.将制定目录下的所有数据完全都备份的备份方式称为()备份。
A、增量B、系统C、差量D、完全正确答案:D10.保证计算机硬件和软件安全的技术是()。
A、硬件安全B、设备安全C、软件安全D、计算机安全正确答案:D11.计算机安全用来确保计算机()和软件的安全。
A、路由器B、硬件C、传输介质D、操作系统正确答案:B12.人们在应用网络时要求网络能提供保密性服务,被保密的信息既包括在网络中()的信息,也包括存储在计算机系统中的信息。
A、存储B、完整C、传输D、否认正确答案:C13.在因特网中,反向地址解析协议RARP是用来解析A、端口号与主机名的对应关系B、MAC地址与IP地址的对应关系C、IP地址与端口号的对应关系D、端口号与MAC地址对应关系正确答案:B14.端--端加密方式是网络中进行数据加密的一种重要方式,其加密、解密在何处进行A、中间结点、中间结点B、源结点、目的结点C、源结点、中间结点。
2024年3月CCAA国家注册ISMS信息安全管理体系审核员知识模拟试题含解析
2024年3月CCAA国家注册ISMS信息安全管理体系审核员知识模拟试题一、单项选择题1、局域网环境下与大型计算机环境下的本地备份方式在()方面有主要区别。
A、主要结构B、容错能力C、网络拓扑D、局域网协议2、当获得的审核证据表明不能达到审核目的时,审核组长可以()A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以3、根据《中华人民共和国国家秘密法》,国家秘密的最高密级为()A、特密B、绝密C、机密D、秘密4、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级,采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务,那么,需要首要关注的是()。
A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密5、主动式射频识别卡(RFID)存在哪一种弱点?()A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR6、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份7、依据GB/T22080/ISO/IEC27001,建立资产清单即:()A、列明信息生命周期内关联到的资产,明确其对组织业务的关键性B、完整采用组织的固定资产台账,同时指定资产负责人C、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高D、A+B8、测量控制措施的有效性以验证安全要求是否被满足是()的活动。
A、ISMS建立阶段B、ISMS实施和运行阶段C、ISMS监视和评审阶段D、ISMS保持和改进阶段9、实施管理评审的目的是为确保信息安全管理体系的()A、充分性B、适宜性C、有效性D、以上都是10、—家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前,用投资顾问商的私钥数字签名邮件D、电子邮件发送前,用投资顾问商的私钥加密邮件11、若通过桌面系统对终端实行IP、MAC绑定,该网络IP地址分配方式应为()A、静态B、动态C、均可D、静态达到50%以上即可12、信息是消除()的东西A、不确定性B、物理特性C、不稳定性D、干扰因素13、计算机病毒系指_____。
信息安全技术试题库(含答案)
信息安全技术试题库(含答案)一、单选题(共100题,每题1分,共100分)1.硬件防火墙的平台架构不包括A、IAAS架构B、X86架构C、ASIC架构D、NP架构正确答案:A2.在制定一套好的安全管理策略时,制定者首先必须( )。
A、与技术员进行有效沟通B、与监管者进行有效沟通C、与决策层进行有效沟通D、与用户进行有效沟通正确答案:C3.信息安全管理体系审核,包括两个方面的审核,即A、管理和流程B、控制和技术C、管理和技术D、控制和流程正确答案:C4.下列关于信息的四种定义中,我国学者钟义信先生提出的是A、信息是事物运动的状态和状态变化的方式B、信息是人们在适应外部世界且这种适应反作用于外部世界的过程中,同外部世界进行相互交换的内容的名称C、信息是反映事物的形式、关系和差异的东西D、信息是用于减少不确定性的东西正确答案:A5.属于哈希函数特点的是A、单向性B、扩充性C、可逆性D、低灵敏性正确答案:A答案解析:哈希函数是一种将任意长度的消息压缩到固定长度的消息摘要的函数。
它具有以下特点: A. 单向性:哈希函数是单向的,即从哈希值无法推出原始数据。
这是哈希函数最重要的特点之一。
B. 扩充性:哈希函数具有扩充性,即可以对任意长度的数据进行哈希计算,得到固定长度的哈希值。
C. 可逆性:哈希函数是不可逆的,即从哈希值无法推出原始数据。
与单向性相同。
D. 低灵敏性:哈希函数的输出值对输入值的微小变化非常敏感,即输入值的微小变化会导致输出值的大幅度变化。
综上所述,选项A正确,属于哈希函数的特点之一。
6.关于国家秘密,机关、单位应当根据工作需要,确定具体的A、保密期限、解密时间,或者解密条件B、保密条件、保密期限,或者解密期限C、保密条件、解密条件,或者解密期限D、保密条件、保密期限,或者解密条件正确答案:A7.IPSec协议属于( )。
A、介于二、三层之间的隧道协议B、第三层隧道协议C、传输层的VPN协议D、第二层隧道协议正确答案:B8.在ISMA架构的具体实施中,下列关于安全事件记录的描述错误的是A、安全事件的记录是信息资产B、安全事件的记录要进行密级标记C、电子媒体的记录应进行备份D、安全事件的记录保存不受任何约束正确答案:D9.下列关于加密算法应用范围的描述中,正确的是A、DSS用于数字签名,RSA用于加密和签名B、DSS用于密钥交换, IDEA用于加密和签名C、DSS用于数字签名,MD5用于加密和签名D、DSS用于加密和签名,MD5用于完整性校验正确答案:A10.下列关于栈的描述中,正确的是()。
最新CISP模拟考试题库及答案
最新CISP模拟考试题库及答案1.在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统B. 网络C. 数据库D. 应用程序系统答案:A备注:[标准和法规(TCSEC)]2.下述攻击手段中不属于DOS攻击的是: ()A. Smurf攻击B. Land攻击C. Teardrop攻击D. CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A. “普密”、“商密”两个级别B. “低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D. “一密”、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件厂商答案:B。
信息安全试题及答案解析
信息安全试题及答案解析一、单项选择题(每题2分,共10题)1. 信息安全的核心目标是保护信息的()。
A. 可用性B. 完整性C. 机密性D. 所有选项答案:D。
解析:信息安全的核心目标是保护信息的机密性、完整性和可用性,这三个属性合称为CIA三元组。
2. 以下哪项不是信息安全的基本属性?A. 机密性B. 完整性C. 可用性D. 可靠性答案:D。
解析:信息安全的基本属性包括机密性、完整性和可用性,而可靠性是系统性能的一个方面,不属于信息安全的基本属性。
3. 以下哪个协议不是用于传输层的安全协议?A. SSLB. TLSC. IPsecD. HTTP答案:D。
解析:SSL(Secure Sockets Layer)和TLS (Transport Layer Security)是用于传输层的安全协议,而IPsec (Internet Protocol Security)是网络层的安全协议。
HTTP (Hypertext Transfer Protocol)是超文本传输协议,不涉及传输层的安全。
4. 以下哪种攻击方式不属于网络攻击?A. 拒绝服务攻击(DoS)B. 社交工程攻击C. 病毒攻击D. 物理攻击答案:D。
解析:拒绝服务攻击、社交工程攻击和病毒攻击都属于网络攻击的范畴,而物理攻击是指对物理设备的攻击,如破坏服务器等,不属于网络攻击。
5. 以下哪种加密算法属于对称加密算法?A. RSAB. DESC. ECCD. AES答案:B。
解析:DES(Data Encryption Standard)是一种对称加密算法,而RSA、ECC(Elliptic Curve Cryptography)和AES (Advanced Encryption Standard)都是非对称加密算法。
6. 以下哪项不是防火墙的功能?A. 访问控制B. 入侵检测C. 数据包过滤D. 网络地址转换答案:B。
解析:防火墙的主要功能包括访问控制、数据包过滤和网络地址转换,而入侵检测是入侵检测系统(IDS)的功能,不是防火墙的功能。
CISM题库(250题含答案)-推荐下载
- 3 - 中电运行技术研究 院
C“绝密”“机密”“秘密”三个级别
12.触犯新刑法 285 条规定的非法侵入计算机系统罪可判处
A.三年以下有期徒刑或拘役
C.三年以上五年以下有期徒刑
D“一密”“二密”“三密”“四密”四个级别
B.1000 元罚款
D.10000 元罚款
13.以下关于我国信息安全政策和法律法规的说法错误的是: A.中办发【2003】27 号文提出“加快信息安全人员培养,增强全民信息安全意识” B.2008 年 4 月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》 C.2007 年我国四部委联合发布了《信息安全等级保护管理办法》 D.2006 年 5 月全国人大常委会审议通过了《中国人民共和国信息安全法》
C.用同一种电缆互连
26.ICMP 协议有多重控制报文,当网络出现拥塞时,路由器发出
A.路由重定向
27. A.路由器
B.目标不可达
设备可以隔离 ARP 广播帧
B.网桥
28.下面哪类设备常用于识系统中存在的脆弱性?
A.防火墙 B.IDS
20.电子邮件客户端通常需要用
A.仅 SMTP B.仅 POP C.SMTP 和 POP
21.在应用层协议中,
A.SNMP
B.DNS
22.以下哪一项是伪装成有用程序的恶意软件?
A.计算机病毒
C.逻辑炸弹
23.下列哪个是蠕虫的特征?
B.特洛伊木马
D.蠕虫程序
C.IKE
B.进行用户行为的审计 D.对网络边界进行访问控制
C.响应
D.管理
D.加密
6.“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂” 是 指下面哪种安全服务: A.数据加密 B.身份认证 C.数据完整性 D.访问控制
2022年第四期CCAA注册ISMS信息安全管理体系审核员知识模拟试题含解析
2022年第四期CCAA注册ISMS信息安全管理体系审核员知识模拟试题一、单项选择题1、关于系统运行日志,以下说法正确的是:()A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志2、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
A、确定B、制定C、落实D、确保3、信息分级的目的是()A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理4、不属于WEB服务器的安全措施的是()A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码5、密码技术不适用于控制下列哪种风险?()A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险6、文件化信息创建和更新时,组织应确保适当的()A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准7、审核证据是指()A、与审核准则有关的,能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对8、审核计划中不包括()。
A、本次及其后续审核的时间安排B、审核准则C、审核组成员及分工D、审核的日程安排9、在实施技术符合性评审时,以下说法正确的是()A、技术符合性评审即渗透测试B、技术符合性评审即漏洞扫描与渗透测试的结合C、渗透测试和漏洞扫描可以替代风险评估D、渗透测试和漏洞扫描不可替代风险评估10、保密性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対11、建立ISMS体系的目的,是为了充分保护信息资产并给予()信息A、相关方B、供应商C、顾客D、上级机关12、局域网环境下与大型计算机环境下的本地备份方式在()方面有主要区别。
信息安全技术模拟练习题(附答案)
信息安全技术模拟练习题(附答案)一、单选题(共100题,每题1分,共100分) (《信息技术安全性评估准则》)将评估过程划分为___ 个部分,评估等级分为七个等级。
A、两B、三C、四D、五正确答案:A2.微软公司安全公告中,危险等级最高的漏洞等级是A、紧急B、重要C、严重D、警告正确答案:C3.下列关于信息安全技术的分类中,密码技术属于A、核心基础安全技术B、安全基础设施技术C、支撑安全技术D、应用安全技术正确答案:A4.Chinese Wall安全策略的基础是A、客户访问的信息不会与目前他们可支配的信息产生冲突B、客户可以访问所有信息C、客户可以访问所有已经选择的信息D、客户不可以访问那些没有选择的信息正确答案:A5.风险管理的第一阶段是A、风险标记B、风险评估C、风险控制D、风险识别正确答案:D6.电子签名认证证书应当载明的内容,不包括A、证书序列号B、证书持有人的公民身份证件信息C、证书有效期D、证书持有人的电子签名验证数据正确答案:B将评估过程分为两个部分,即A、功能和保证B、功能和实现C、实现和保证D、实现和运行正确答案:A8.为了保证整个信息系统的安全,必须保证系统开发过程的安全,系统的整个开发过程可以划分为五个阶段,即A、规划、分析、设计、实现和审计B、测试、分析、设计、实现和审计C、测试、分析、设计、实现和运行D、规划、分析、设计、实现和运行正确答案:D9.审查数据电文作为证据的真实性时,需要考虑的因素是?A、用以鉴别发件人方法的可靠性B、数据提供者的可靠性C、电文加密方法的可靠性D、保持内容机密性方法的可靠性正确答案:A10.信息安全技术包括A、核心基础安全技术B、安全基础设施技术C、应用安全技术D、以上都对正确答案:D11.下列协议中,可为电子邮件提供数字签名和数据加密功能的是( )。
A、SMTPB、S/MIMEC、SETD、POP3正确答案:B答案解析:SMTP:简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。
CISM部分试题
占分比较多的是哪几章?保障,密码学与网络安全安全管理基础分数最少的的终端安全考点:P12 1-8图P28 密码学知识P46 网络安全产品P51 基于数据来源入侵检测系统分类对比P56 IPsee与SSL VPN 比较P123 拒绝服务P124 SYN洪泛攻击P155 风险管理P158 风险处理方法P160 评估方法P161 评估过程P165 安全管理体系P167 文档分类P169 标准P186 信息分类P193 应急响应(cc)P196 事件分类P198 事件级别P203 RTO、RPO1、钓鱼邮件是电子邮件中常见的安全威胁,针对此项安全威胁,应采取以下哪项安全措施()A 设置复杂的密码,并定期更换B使用邮件客户端而不是通过web方式接受邮件C 用自己的PC机做邮件服务器D 不要轻易接收或打开含中奖信息内容的邮件2、某公司因业务需要、需要对公司部分数据进行加密,网络部门提出了采用硬盘加密的方法。
下列软件工具中,不具备对硬盘或硬盘分区整体加密功能的是()A、bitlockerB、PCPC、TruecryptD、WlnRAR3、以下关于数据安全防护产品描述错误的是()A、数据加密工具可以对硬盘区分进行加密保护,或对文件进行加密保护B、数据防泄漏产品是以数据内容保护为核心,通过一定的手段控制主机中的文件和数据,防止非法泄漏C、数据删除产品通常采用消磁技术或者在原处多次复写,以达到擦除原有存储数据并消除弱磁性记忆的目的。
D、数据备份产品可以避免因数据丢失带来的损失,数据备份多采用手工备份,海量数据的备份可能会需要较多的时间4、某小型企业期望加强终端安全防护能力,准备对员工办公电脑上的网络访问行为和文件访问行为进行监督。
在下面信息安全产品中,较为合适的推荐是()A、服务器安全加固系统B、主机安全审计系统C、网页防篡改安全系统D、安全隔离与信息交换系统5、电子邮件是日常办公的重要通讯手段,攻击者常常通过愿意邮件来控制主机以窃取用户信息,下列设置中,不安全的是()A、设置宏安全选项,禁止使用不信任源的宏B、设置禁止图片自动下载,阻止垃圾图片C、设置以超文本格式读取所有电子邮件D、设置关闭附件预览,不在电子邮件客户端直接预览附件6、为保证Windows7操作系统安全,应对本地安全策略进行设置,下面安全策略设置正确的是()A、对于策略“网络访问不允许SAM用户的匿名枚举”设置为启用B、对于策略“网络访问,可匿名访问的共享”设置为启用C、对于策略“交互式登录、无须按Ctrl+Alt+Del”,设置为启用D、对于策略“网络访问:可选远程访问的注册表路径”,设置为启用7、主机安全监控产品能够更好的帮助用户加强对个人计算机的日常管理。
信息安全技术模考试题(附答案)
信息安全技术模考试题(附答案)一、单选题(共100题,每题1分,共100分)1.在信息资产管理中,不属于标准信息系统因特网组件的是A、保护设备(如防火墙、代理服务器)B、网络设备(如路由器、集线器、交换机)C、不间断电源D、服务器正确答案:C2.有关单点登录,说法错误的是A、用户只需要进行一-次验证,便可以访问到自己所需的网络、信息和其他资源B、单点登录可以细致地分配用户权限,实现细粒度的访问控制C、消除了多个系统中的用户密码进行同步时的风险D、Hotmail、 Yahoo、163等知名网站上使用的通行证技术都是单点登录技术正确答案:B3.下列选项中,综合漏洞扫描不包含的功能是( )。
A、病毒扫描B、SQL注入扫描C、弱口令扫描D、漏洞扫描正确答案:B4.应急计划过程开发的第一阶段是A、从属计划分类B、业务单元分析C、潜在损坏的评估D、业务影响分析正确答案:D5.信息系统的安全保护等级分为( )。
A、六级B、四级C、三级D、五级正确答案:D6.涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为A、最高秘密B、国家机密C、核心秘密D、国家秘密正确答案:D7.属于保密性模型的是A、Bell-Lapudula 模型B、Biba模型C、Clark-Wilson 模型D、Chinese Wall模型正确答案:A8.建立信息安全管理框架时要确定管理目标和选择管理措施,其基本原则是A、费用应不低于风险所造成的损失B、费用与风险所造成的损失大致相当即可C、有些风险的后果是无法用金钱来衡量的,所以费用不应考虑D、费用应不高于风险所造成的损失正确答案:D9.下列关于访问控制主体和客体的说法中,错误的是( )。
A、主体是一个主动的实体,它提供对客体中的对象或数据的访问要求B、主体可以是能够访问信息的用户、程序和进程C、客体是含有被访问信息的被动实体D、一个对象或数据如果是主体,则其不可能是客体正确答案:D答案解析:主体是指提出访问资源具体请求,是某-操作动作的发起者,但不一定是动作的执行者,可能是某-用户, 也可以是用户启动的进程、服务和设备等。
信息安全技术模拟试题+参考答案
信息安全技术模拟试题+参考答案一、单选题(共59题,每题1分,共59分)1.节点加密方式是()层的加密方式A、传输层B、数据链路层C、物理层D、网络层正确答案:C2.对计算机网络的最大威胁是什么?A、计算机病毒的威胁B、企业内部员工的恶意攻击和计算机病毒的威胁C、黑客攻击D、企业内部员工的恶意攻击正确答案:B3.路由器的作用不包括()A、拥塞控制B、信号整形放大C、地址格式转换D、路由选择正确答案:B4.在网络安全中,窃听是对A、可用性的攻击B、真实性的攻击C、保密性的攻击D、可控性的攻击正确答案:C5.关于公钥密码体制的说法正确的有()。
A、加密密钥和解密密钥相同B、加密密钥和解密密钥不相同C、加密密钥和解密密钥对称D、加密密钥和解密密钥一样正确答案:B6.密码分析学研究()。
A、对密文进行破译B、加密C、如何对消息进行加密D、怎样编码正确答案:A7.互联网层主要的工作就是网络互联,常用的协议是()。
A、IPB、TELNETC、URLD、POP3正确答案:A8.不属于个人特征认证的有()A、指纹识别B、虹膜识别C、个人标记号识别D、声音识别正确答案:C9.有一种攻击是不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪。
这种攻击叫做A、重放攻击B、拒绝服务攻击C、反射攻击D、服务攻击正确答案:B10.在网络通信中,防御传输消息被篡改的安全措施是()。
A、数字水印技术B、加密技术C、完整性技术D、认证技术正确答案:C11.在网络通信中,防御信息被窃取的安全措施是()。
A、数字签名技术B、认证技术C、加密技术D、完整性技术正确答案:C12.关于数字签名的描述中,错误的是()。
A、利用公钥密码体制实现B、数字签名可以保证消息内容的机密性C、保证不可否认性D、保证消息的完整性正确答案:B13.关于TCP/IP模型与OSI模型对应关系的描述中,正确的是()A、TCP/IP模型的应用层对应于OSI模型的传输层B、TCP/IP模型的传输层对应于OSI模型的物理层C、TCP/IP模型的互联层对应于OSI模型的网络层D、CP/IP模型的主机-网络层对应于OSI模型的应用层正确答案:C14.非对称密码的加密密钥和解密密钥()。
2021年3月CCAA注册ISMS信息安全管理体系审核员知识模拟试题含解析
2021年3月CCAA注册ISMS信息安全管理体系审核员知识模拟试题一、单项选择题1、依据GB/T22080-2016标准,符合性要求包括()A、知识产权保护B、公司信息保护C、个人隐私的保护D、以上都对2、访问控制是指确定()以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵3、关于投诉处理过程的设计,以下说法正确的是:()A、投诉处理过程应易于所有投诉者使用B、投诉处理过程应易于所有投诉响应者使用C、投诉处理过程应易于所有投诉处理者使用D、投诉处理过程应易于为投诉处理付费的投诉者使用4、ISO/IEC27001描述的风险分析过程不包括()A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后,可能导致的潜在后果D、评估所识别的风险实际发生的可能性5、过程是指()A、有输入和输出的任意活动B、通过使用资源和管理,将输入转化为输出的活动C、所有业务活动的集合D、以上都不对6、应定期评审信息系统与组织的()的符合性。
A、信息安全目标和标准B、信息安全方针和策C、信息安全策略和制度D、信息安全策略和标准7、信息分类方案的目的是()A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析8、依据《中华人民共和国网络安全法》,以下说法不正确的是()A、网络安全应采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护9、在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是()A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC4010、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、许可制度D、备案制度11、下列管理评审的方式,哪个不满足标准的要求?()A、组织外部评审团队通过会议的方式对管理体系适宜性、有效性和充分性进行评审B、通过网络会议的方式组织最高管理层进行管理体系适宜性、有效性和充分性进行评审C、通过逐级汇报的方式由最高管理层对管理体系的有效性和充分性进行评审D、通过材料评审的方式由最高管理层进行管理体系适宜性、有效性和充分性的评审12、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对13、依据GB/T22080_2016/ISO/IEC27001:2013,不属于第三方服务监视和评审范畴的是()。
cisp考试试题及答案
cisp考试试题及答案CISP考试试题及答案一、单项选择题(每题2分,共20分)1. CISP认证是由哪个组织颁发的?A. 中国信息安全测评中心B. 国际信息系统安全认证联盟C. 美国计算机安全协会D. 欧洲信息安全认证机构答案:A2. 以下哪项不是CISP认证的考试科目?A. 信息安全管理B. 信息安全技术C. 信息安全审计D. 网络工程答案:D3. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 5年答案:C4. 以下哪项不是信息安全的基本属性?A. 机密性B. 完整性C. 可用性D. 可扩展性答案:D5. 以下哪项是信息安全风险评估的主要目的?A. 识别系统中的安全漏洞B. 确定系统的安全等级C. 制定信息安全策略D. 以上都是答案:D6. 以下哪项不是信息安全管理体系的关键组成部分?A. 政策B. 程序C. 标准D. 产品答案:D7. 以下哪项不是信息安全管理体系的实施步骤?A. 制定信息安全政策B. 风险评估C. 风险处理D. 产品开发答案:D8. 以下哪项不是信息安全事件响应的主要活动?A. 事件识别B. 事件分类C. 事件通知D. 产品推广答案:D9. 以下哪项不是信息安全审计的目的?A. 确保合规性B. 评估风险C. 改进安全控制D. 增加市场份额答案:D10. 以下哪项不是信息安全培训的主要目标?A. 提高员工的安全意识B. 传授安全技能C. 减少安全事故D. 提高产品销量答案:D二、多项选择题(每题3分,共15分)1. CISP认证的考试内容包括哪些方面?A. 信息安全管理B. 信息安全技术C. 信息安全审计D. 信息安全法律答案:A、B、C2. 信息安全风险评估的步骤包括哪些?A. 风险识别B. 风险分析C. 风险评估D. 风险处理答案:A、B、C、D3. 信息安全管理体系的实施需要哪些支持?A. 政策支持B. 技术支持C. 人员支持D. 资金支持答案:A、B、C、D4. 信息安全事件响应的主要目标包括哪些?A. 减少损失B. 恢复服务C. 收集证据D. 预防未来事件答案:A、B、C、D5. 信息安全审计的主要类型包括哪些?A. 合规性审计B. 风险审计C. 性能审计D. 安全审计答案:A、B、C三、判断题(每题1分,共10分)1. CISP认证是国际认可的信息安全专业认证。
信息安全技术模拟考试题含答案
信息安全技术模拟考试题含答案一、单选题(共59题,每题1分,共59分)1.下面关于数字签名的描述中错误的是()。
A、通常能证实签名的时间B、通常能对内容进行鉴别C、必须采用DSS标准D、能被第三方验证正确答案:C2.属于域名服务系统DNS中所维护的信息的是()。
A、IP地址与MAc地址的对应关系B、CPU类型C、域名与MAC地址的对应关系D、域名与IP地址的对应关系正确答案:D3.密码学的发展经历了三个阶段:手工加密阶段、()和计算机加密阶段。
A、软件加密B、人为加密C、机械加密阶段D、硬件加密正确答案:C4.为了保证传输中信息不被非法篡改,可通过()技术来实现。
A、解密B、消息认证C、身份识别D、加密正确答案:B5.保证数据的不可否认性就是A、保证电子商务交易各方的真实身份B、保证因特网上传送的数据信息不被第三方监视和窃取C、保证因特网上传送的数据信息不被篡改D、保证发送方不能抵赖曾经发送过某数据信息正确答案:D6.Ipsec可以分为传输模式和()。
A、加密模式B、隧道模式C、认证模式D、签名模式正确答案:B7.()是指通过各种方式获取所需要的信息。
A、攻击实施B、身份识别C、信息收集D、隐身巩固正确答案:C8.()是把文件或数据库从原来存储的地方复制到其他地方的操作。
A、声音识别B、设备安全C、数据备份D、环境安全正确答案:C9.()主要包括媒体数据的安全及媒体本身的安全,如预防删除文件、格式化硬盘、线路拆除、意外疏漏等操作失误导致的安全威胁。
A、设备安全B、环境安全C、媒体安全D、人身安全正确答案:C10.IPSec协议是开放的VPN协议。
对它的描述有误的是:A、适应于向IPv6迁移B、支持动态的IP地址分配C、提供在网络层上的数据加密保护D、不支持除TCP/IP外的其它协议正确答案:B11.()是指如果数据有变动或数据变动达到指定的阈值时才对数据进行备份。
A、系统备份B、环境备份C、完全备份D、增量备份正确答案:D12.网络服务提供商的网址通常以结尾。
[全]CISP-CISE模拟试题及参答案
![[全]CISP-CISE模拟试题及参答案](https://img.taocdn.com/s3/m/e6196dc8bb68a98270fefaad.png)
CISP-CISE模拟试题及参答案CISP-CISE模拟试题1.信息安全等级保护分级要求,第三级别适用正确的是:A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有定影响,但不危害国家安全、社会秩序、经济建设和公共利益B、适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害C、适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害D、适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害参考答案:B选项A是1级;选项D是5级,涉及国家公安的特别严重损害,二者都排除。
国家安全高于社会秩序和公众利益,因此选项B情形对国家安全造成一定损善变达到了三级。
2、下面对国家秘密定级和范围的描述中,哪项不符合《保守国家秘密法》要求:A.国家秘密及其密级的具体范围,由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定B. 各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定确定密级C. 对是否属于国家机密和属F何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,然后报国家保密工作部门确定D、对是否属于国家秘密和属于何种密级不明确的事项。
由国家保密工作部门,省、自治区、直辖市的保密工作部门。
省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门审定或者国家保密工作部门审定的机关确定。
参考答案:C解析:保守国家秘密法第第二十条机关、单位对是否属于国家秘密或者属于何种密级不明确或者有争议的,由国家保密行政管理部门或者省、自治区、且辖市保密行政管理部门确定。
3. 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,加强在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理。
2022年9月ISMS信息安全管理体系CCAA审核员模拟试题含解析
2022年9月ISMS信息安全管理体系CCAA审核员模拟试题一、单项选择题1、经过风险处理后遗留的风险通常称为()A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险2、进入重要机构时,在门卫处登记属于以下哪种措施?()A、访问控制B、身份鉴别C、审计D、标记3、关于互联网信息服务,以下说法正确的是A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务,是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动4、对于较大范围的网络,网络隔离是()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对5、TCP/IP协议层次结构由()A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确6、信息安全管理体系的设计应考虑()A、组织的战B、组织的目标和需求C、组织的业务过程性质D、以上全部7、《互联网信息服务管理办法》现行有效的版本是哪年发布的?()A、2019B、2017C、2016D、20218、当获得的审核证据表明不能达到审核目的时,审核组长可以()A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以9、ISO/IEC27001所采用的过程方法是()A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法10、PKI的主要组成不包括()A、SSLB、CRC、CAD、RA11、关于信息安全连续性,以下说法正确的是:A、信息安全连续性即FT设备运行的连续性B、信息安全连续性应是组织业务连续性的一部分C、信息处理设施的冗余即指两个或多个服务器互备D、信息安全连续性指标由IT系统的性能决定12、系统备份与普通数据备份的不同在于,它不仅备份系统屮的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。
【免费下载】CISM题库250题含答案
16.VPN 技术无法实现以下哪个服务? A.身份验证 B.传输加密 C.完整性校验 D.可用性校验
17.组成 IPSec 的主要安全协议不包括以下哪一项?
A.ESP
B.DSS
18.SSL 协议比 IPSEC 协议的优势在于:
A.实现简单、易于配置
C.能支撑更多的应用层协议
19.下面对于“电子邮件炸弹”的解释最准确的是: A.邮件正文中包含的恶意网站链接 B.邮件附件中具有破坏性的病毒 C.社会工程的一种方式,具有恐吓内容的邮件 D.在短时间内发送大量邮件的软件,可以造成目标邮箱爆满
- 1 - 中电运行技术研究 院
认 证 模 拟 试 题
考过的题: 188、192、193、194、195、203、215、216、223、230、238、241
对全部高中资料试卷电气设备,在安装过程中以及安装结束后进行高中资料试卷调整试验;通电检查所有设备高中资料电试力卷保相护互装作置用调与试相技互术关,系电,力根通保据过护生管高产线中工敷资艺设料高技试中术卷资,配料不置试仅技卷可术要以是求解指,决机对吊组电顶在气层进设配行备置继进不电行规保空范护载高与中带资负料荷试下卷高问总中题体资,配料而置试且时卷可,调保需控障要试各在验类最;管大对路限设习度备题内进到来行位确调。保整在机使管组其路高在敷中正设资常过料工程试况中卷下,安与要全过加,度强并工看且作护尽下关可都于能可管地以路缩正高小常中故工资障作料高;试中对卷资于连料继接试电管卷保口破护处坏进理范行高围整中,核资或对料者定试对值卷某,弯些审扁异核度常与固高校定中对盒资图位料纸置试,.卷保编工护写况层复进防杂行腐设自跨备动接与处地装理线置,弯高尤曲中其半资要径料避标试免高卷错等调误,试高要方中求案资技,料术编试交写5、卷底重电保。要气护管设设装线备备置敷4高、调动设中电试作技资气高,术料课中并3中试、件资且包卷管中料拒含试路调试绝线验敷试卷动槽方设技作、案技术,管以术来架及避等系免多统不项启必方动要式方高,案中为;资解对料决整试高套卷中启突语动然文过停电程机气中。课高因件中此中资,管料电壁试力薄卷高、电中接气资口设料不备试严进卷等行保问调护题试装,工置合作调理并试利且技用进术管行,线过要敷关求设运电技行力术高保。中护线资装缆料置敷试做设卷到原技准则术确:指灵在导活分。。线对对盒于于处调差,试动当过保不程护同中装电高置压中高回资中路料资交试料叉卷试时技卷,术调应问试采题技用,术金作是属为指隔调发板试电进人机行员一隔,变开需压处要器理在组;事在同前发一掌生线握内槽图部内纸故,资障强料时电、,回设需路备要须制进同造行时厂外切家部断出电习具源题高高电中中源资资,料料线试试缆卷卷敷试切设验除完报从毕告而,与采要相用进关高行技中检术资查资料和料试检,卷测并主处且要理了保。解护现装场置设。备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。
CISM题库(题含标准答案)
CISM题库(题含答案)————————————————————————————————作者:————————————————————————————————日期:2认证模拟试题考过的题:188、192、193、194、195、203、215、216、223、230、238、2411.信息安全保障要素不包括以下哪一项?A .技术B .工程C .组织D .管理2.以下对信息安全问题产生的根源描述最准确的是:A .信息安全问题是由于信息技术的不断发展造成的B .信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C .信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的D .信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏3.完整性机制可以防范以下哪种攻击?A .假冒源地址或用户的地址的欺骗攻击B .抵赖做过信息的递交行为C .数据传输中被窃听获取D .数据传输中被篡改或破坏4.PPDR 模型不包括:A .策略B .检测C .响应D .加密5.关于信息安全策略的说法中,下面说法正确的是:A .信息安全策略的制定是以信息系统的规模为基础B .信息安全策略的制定是以信息系统的网络拓扑结构为基础C .信息安全策略是以信息系统风险管理为基础D .在信息系统尚未建设完成之前,无法确定信息安全策略6.“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。
其中,“看不懂”是 指下面哪种安全服务:A .数据加密B .身份认证C .数据完整性D .访问控制7.下面对 ISO27001 的说法最准确的是:A .该标准的题目是信息安全管理体系实施指南B .该标准为度量信息安全管理体系的开发和实施过程提供的一套标准C .该标准提供了一组信息安全管理相关的控制措施和最佳实践D .该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型 8.拒绝服务攻击损害了信息系统的哪一项性能?A .完整性B .可用性C .保密性D .可靠性9.根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?A .威胁、脆弱性B .系统价值、风险C .信息安全、系统服务安全D .受侵害的客体、对客体造成侵害的程度业务10.IAFE 深度防御战略的三个层面不包括:A .人员B .法律C .技术D .运行“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为: “商密”两“““秘密12.触犯新刑法 285 条规定的非法侵入计算机系统罪可判处A.三年以下有期徒刑或拘役B.1000 元罚款C.三年以上五年以下有期徒刑D.10000 元罚款13.以下关于我国信息安全政策和法律法规的说法错误的是:A.中办发【2003】27 号文提出“加快信息安全人员培养,增强全民信息安全意识”B.2008 年 4 月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》C.2007 年我国四部委联合发布了《信息安全等级保护管理办法》D.2006 年 5 月全国人大常委会审议通过了《中国人民共和国信息安全法》14.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?A.公安部B.国家保密局C.信息产业部D.国家密码管理委员会办公室15.VPN 系统主要用来A.进行用户身份的鉴别B.进行用户行为的审计C.建立安全的网络通信D.对网络边界进行访问控制16.VPN 技术无法实现以下哪个服务?A.身份验证 B.传输加密 C.完整性校验D.可用性校验17.组成 IPSec 的主要安全协议不包括以下哪一项?A.ESP B.DSS C.IKE D.AH18.SSL 协议比 IPSEC 协议的优势在于:A.实现简单、易于配置B.能有效的工作在网络层C.能支撑更多的应用层协议D.能实现更高强度的加密19.下面对于“电子邮件炸弹”的解释最准确的是:A.邮件正文中包含的恶意网站链接B.邮件附件中具有破坏性的病毒C.社会工程的一种方式,具有恐吓内容的邮件D.在短时间内发送大量邮件的软件,可以造成目标邮箱爆满20.电子邮件客户端通常需要用协议来发送邮件。
中国信息安全评测中心CISM认证模拟试题库-答案.docx
1中电运行技术研究院中国信息安全测评中心CISM认证模拟试题中电运行信息安全网络技术测评中心编辑1.信息安全保障要素不包括以下哪一项?A.技术B.工程C.组织D.管理2.以下对信息安全问题产生的根源描述最准确的是:A.信息安全问题是由于信息技术的不断发展造成的B.信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C.信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的D.信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏3.完整性机制可以防范以下哪种攻击?A.假冒源地址或用户的地址的欺骗攻击B.抵赖做过信息的递交行为C.数据传输中被窃听获取D.数据传输中被篡改或破坏4. PPDR模型不包括:A.策略B.检测C.响应D.加密5.关于信息安全策略的说法中,下面说法正确的是:A.信息安全策略的制定是以信息系统的规模为基础B.信息安全策略的制定是以信息系统的网络拓扑结构为基础C.信息安全策略是以信息系统风险管理为基础D.在信息系统尚未建设完成之前,无法确定信息安全策略6 .“进不来”“拿不走” “看不懂” “改不了”“走不脱”是网络信息安全建设的目的。
其中,“看不懂”是指下面哪种安全服务:A.数据加密B.身份认证C.数据完整性D.访问控制7.下面对ISO27001 的说法最准确的是:A.该标准的题目是信息安全管理体系实施指南B.该标准为度量信息安全管理体系的开发和实施过程提供的一套标准C.该标准提供了一组信息安全管理相关的控制措施和最佳实践D.该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型8.拒绝服务攻击损害了信息系统的哪一项性能?A.完整性B.可用性C.保密性D.可靠性9.根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?A.威胁、脆弱性B.系统价值、风险C.信息安全、系统服务安全D.受侵害的客体、对客体造成侵害的程度业务10. IAFE深度防御战略的三个层面不包括:A.人员B.法律C.技术D.运行11.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:A.“普密”、“商密”两个级别B.“低级”和“高级”两个级别C.“绝密”、“机密”、“秘密”三个级别D.“一密”、“二密”、“三密”、“四密”四个级别12.触犯新刑法285 条规定的非法侵入计算机系统罪可判处________A.三年以下有期徒刑或拘役B. 1000 元罚款C.三年以上五年以下有期徒刑D. 10000 元罚款13.以下关于我国信息安全政策和法律法规的说法错误的是:A.中办发【 2003】 27 号文提出“加快信息安全人员培养,增强全民信息安全意识”B. 2008 年 4 月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》C.2007 年我国四部委联合发布了《信息安全等级保护管理办法》D. 2006 年 5 月全国人大常委会审议通过了《中国人民共和国信息安全法》14 .目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?A.公安部B.国家保密局C.信息产业部D.国家密码管理委员会办公室15. VPN 系统主要用来________A.进行用户身份的鉴别B.进行用户行为的审计C.建立安全的网络通信D.对网络边界进行访问控制16. VPN 技术无法实现以下哪个服务?A.身份验证B.传输加密C.完整性校验D.可用性校验17.组成 IPSec的主要安全协议不包括以下哪一项?A. ESPB. DSSC.IKED. AH18. SSL协议比 IPSEC协议的优势在于:A.实现简单、易于配置B.能有效的工作在网络层C.能支撑更多的应用层协议D.能实现更高强度的加密19.下面对于“电子邮件炸弹”的解释最准确的是:A.邮件正文中包含的恶意网站链接B.邮件附件中具有破坏性的病毒C.社会工程的一种方式,具有恐吓内容的邮件D.在短时间内发送大量邮件的软件,可以造成目标邮箱爆满20.电子邮件客户端通常需要用________协议来发送邮件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国信息安全测评中心CISM认证模拟试题中电运行信息安全网络技术测评中心 编辑1.信息安全保障要素不包括以下哪一项?A.技术B.工程C.组织D.管理2.以下对信息安全问题产生的根源描述最准确的是:A.信息安全问题是由于信息技术的不断发展造成的B.信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C.信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的D.信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏3.完整性机制可以防范以下哪种攻击?A.假冒源地址或用户的地址的欺骗攻击B.抵赖做过信息的递交行为C.数据传输中被窃听获取D.数据传输中被篡改或破坏4.PPDR模型不包括:A.策略B.检测C.响应D.加密5.关于信息安全策略的说法中,下面说法正确的是:A.信息安全策略的制定是以信息系统的规模为基础B.信息安全策略的制定是以信息系统的网络拓扑结构为基础C.信息安全策略是以信息系统风险管理为基础D.在信息系统尚未建设完成之前,无法确定信息安全策略6.“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。
其中,“看不懂”是指下面哪种安全服务:A.数据加密B.身份认证C.数据完整性D.访问控制7.下面对ISO27001的说法最准确的是:A.该标准的题目是信息安全管理体系实施指南B.该标准为度量信息安全管理体系的开发和实施过程提供的一套标准C.该标准提供了一组信息安全管理相关的控制措施和最佳实践D.该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型8.拒绝服务攻击损害了信息系统的哪一项性能?A.完整性B.可用性C.保密性D.可靠性9.根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?A.威胁、脆弱性B.系统价值、风险C.信息安全、系统服务安全D.受侵害的客体、对客体造成侵害的程度业务10.IAFE深度防御战略的三个层面不包括:A.人员B.法律C.技术D.运行11.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为: A.“普密”、“商密”两个级别B.“低级”和“高级”两个级别C.“绝密”、“机密”、“秘密”三个级别D.“一密”、“二密”、“三密”、“四密”四个级别12.触犯新刑法285条规定的非法侵入计算机系统罪可判处________A.三年以下有期徒刑或拘役B.1000元罚款C.三年以上五年以下有期徒刑D.10000元罚款13.以下关于我国信息安全政策和法律法规的说法错误的是:A.中办发【2003】27号文提出“加快信息安全人员培养,增强全民信息安全意识”B.2008年4月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》C.2007年我国四部委联合发布了《信息安全等级保护管理办法》D.2006年5月全国人大常委会审议通过了《中国人民共和国信息安全法》14.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?A.公安部B.国家保密局C.信息产业部D.国家密码管理委员会办公室15.VPN系统主要用来________A.进行用户身份的鉴别B.进行用户行为的审计C.建立安全的网络通信D.对网络边界进行访问控制16.VPN技术无法实现以下哪个服务?A.身份验证B.传输加密C.完整性校验D.可用性校验17.组成IPSec的主要安全协议不包括以下哪一项?A.ESPB.DSSC.IKED.AH18.SSL协议比IPSEC协议的优势在于:A.实现简单、易于配置B.能有效的工作在网络层C.能支撑更多的应用层协议D.能实现更高强度的加密19.下面对于“电子邮件炸弹”的解释最准确的是:A.邮件正文中包含的恶意网站链接B.邮件附件中具有破坏性的病毒C.社会工程的一种方式,具有恐吓内容的邮件D.在短时间内发送大量邮件的软件,可以造成目标邮箱爆满20.电子邮件客户端通常需要用________协议来发送邮件。
A.仅SMTPB.仅POPC.SMTP和POPD.以上都不正确21.在应用层协议中,________可使用传输层的TCP协议,又可用UDP协议。
A.SNMPB.DNSC.HTTPD.FTP22.以下哪一项是伪装成有用程序的恶意软件?A.计算机病毒B.特洛伊木马C.逻辑炸弹D.蠕虫程序23.下列哪个是蠕虫的特征?A.不感染、依附性B.不感染、独立性C.可感染、依附性D.可感染、独立性24.杀毒软件报告发现病毒Macor.Melissa,由该病毒名称可以推断出病毒类型是________。
A.文件型B.引导型C.目录型D.宏病毒25.所谓网络内的机器遵循同一“协议”就是指:A.采用某一套通信规则或标准B.采用同一种操作系统C.用同一种电缆互连D.用同一种程序设计语言26.ICMP协议有多重控制报文,当网络出现拥塞时,路由器发出________报文。
A.路由重定向B.目标不可达C.源抑制D.子网掩码请求27.________设备可以隔离ARP广播帧A.路由器B.网桥C.以太网交换机D.集线器28.下面哪类设备常用于识系统中存在的脆弱性?A.防火墙B.IDSC.漏洞扫描器D.UTM29.下列关于防火墙功能的说法最准确的是:A.访问控制B.内容控制C.数据加密D.查杀病毒30.某种防火墙的缺点是没有办法从非常细微之处来分析数据包,但它的优点是非常快,这种防火墙是以下的哪一种?A.电路级网关B.应用级网关C.会话层防火墙D.包过滤防火墙31.在包过滤型防火墙中,定义数据包过滤规则的是:A.路由表B.ARPC.NATD.ACL32.包过滤型防火墙对数据包的检查内容一般不包括________。
A.源地址B.目的地址C.协议D.有效载荷33.NAT技术不能实现以下哪个功能?A.对应用层协议进行代理B.隐藏内部地址C.增加私有组织的地址空间D.解决IP地址不足问题34.某单位想用防火墙对telnet协议的命令进行限制,应选在什么类型的防火墙?A.包过滤技术B.应用代理技术C.状态检测技术D.NAT技术35.以下哪一项不是IDS可以解决的问题?A.弥补网络协议的弱点B.识别和报告对数据文件的改动C.统计分析系统中异常活动的模式D.提升系统监控能力36.从分析式上入侵检测技术可以分为:A.基于标志检测技术、基于状态检测技术B.基于异常检测技术、基于流量检测技术C.基于误用检测技术、基于异常检测技术D.基于标志检测技术、基于误用检测技术37.一台需要与互联网通信的WEB服务器放在以下哪个位置最安全?A.在DMZ区B.在内网中C.和防火墙在同一台计算机上D.在互联网防火墙外38.以下哪个入侵检测技术能检测到未知的攻击行为?A.基于误用的检测技术B.基于异常的检测技术C.基于日志分析的技术D.基于漏洞机理研究的技术39.做渗透测试的第一步是:A.信息收集B.漏洞分析与目标选定C.拒绝服务攻击D.尝试漏洞利用40.监听网络流量获取密码,之后使用这个密码试图完成未经授权访问的攻击方式被称为: A.穷举攻击B.字典攻击C.社会工程攻击D.重放攻击41.下面哪一项是社会工程?A.缓冲器溢出B.SQL注入攻击C.电话联系组织机构的接线员询问用户名和口令D.利用PK/CA构建可信网络42.“TCPSYNFlooding”建立大量处于半连接状态的TCP连接,其攻击目标是网络的________。
A.保密性B.完整性C.真实性D.可用性43.通过反复尝试向系统提交用户名和密码以发现正确的用户密码的攻击方式称为:A.账户信息收集B.密码分析C.密码嗅探D.密码暴力破解44.下列保护系统账户安全的措施中,哪个措施对解决口令暴力破解无帮助?A.设置系统的账户锁定策略,在用户登录输入错误次数达到一定数量时对账户进行锁定 B.更改系统内宣管理员的用户名C.给管理员账户一个安全的口令D.使用屏幕保护并设置返回时需要提供口令45.关闭系统中不需要的服务主要目的是:A.避免由于服务自身的不稳定影响系统的安全B.避免攻击者利用服务实现非法操作从而危害系统安全C.避免服务由于自动运行消耗大量系统资源从而影响效率D.以上都是46.某系统被攻击者入侵,初步怀疑为管理员存在弱口令,攻击者从远程终端以管理员身 份登录进系统进行了相应的破坏,验证此事应查看:A.系统日志B.应用程序日志C.安全日志D.IIS日志47.U盘病毒的传播是借助Windows系统的什么功能实现的?A.自动播放B.自动补丁更新C.服务自启动D.系统开发漏洞48.保护数据安全包括保密性、完整性和可用性,对于数据的可用性解决方法最有效的是: A.加密B.备份C.安全删除D.以上都是49.在Windows系统中,管理权限最高的组是:A.everyoneB.administratorsC.powerusersD.users50.Windows系统下,可通过运行________命令打开Windows管理控制台。
A.regeditB.cmdC.mmcD.mfc51.在Windows文件系统中,________支持文件加密。
A.FAT16B.NTFSC.FAT32D.EXT352.在window系统中用于显示本机各网络端口详细情况的命令是: A.netshowB.netstatC.ipconfigD.netview53.视窗操作系统(Windows)从哪个版本开始引入安全中心的概念? A.WinNTSP6B.Win2000SP4C.WinXPSP2D.Win2003SP154.在WindowsXP中用事件查看器查看日志文件,可看到的日志包括? A.用户访问日志、安全性日志、系统日志和IE日志B.应用程序日志、安全性日志、系统日志和IE日志C.网络攻击日志、安全性日志、记账日志和IE日志D.网络链接日志、安全性日志、服务日志和IE日志55.关于数据库注入攻击的说法错误的是:A.它的主要原因是程序对用户的输入缺乏过滤B.一般情况下防火培对它无法防范C.对它进行防范时要关注操作系统的版本和安全补丁D.注入成功后可以获取部分权限56.专门负责数据库管理和维护的计算机软件系统称为:A.SQL‐MSB.INFERENCECONTROLC.DBMSD.TRIGGER‐MS57.下列哪一项与数据库的安全直接相关?A.访问控制的粒度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量58.信息安全风险的三要素是指:A.资产/威胁/脆弱性B.资产/使命/威胁C.使命/威胁/脆弱性D.威胁/脆弱性/使命59.以下哪一项是已经被确认了的具有一定合理性的风险?A.总风险B.最小化风险C.可接受风险D.残余风险60.统计数据指出,对大多数计算机系统来说,最大的威胁是:A.本单位的雇员B.黑客和商业间谍C.未受培训的系统用户D.技术产品和服务供应商61.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任? A.部门经理B.高级管理层C.信息资产所有者D.最终用户62.风险评估方法的选定在PDCA循环中的哪个阶段完成?A.实施和运行B.保持和改进C.建立D.监视和评审63.下列安全协议中,________可用于安全电子邮件加密。