信息安全工程师练习题库及答案.docx

信息安全工程师练习题库及答案.docx

《信息安全工程师练习题库及答案.docx》由会员分享，可在线阅读，更多相关《信息安全工程师练习题库及答案.docx（51页珍藏版）》请在冰豆网上搜索。

信息安全工程师练习题库及答案

信息安全工程师练习题库及答案

1.1、ChineseWall模型的设计宗旨是：

（）o［单选题尸

A、用户只能访问哪些与已经拥有的信息不冲突的信息

B、用户可以访问所有信息

C、用户可以访问所有已经选择的信息

D、用户不可以访问舞些没有选择的信息

2.2.安全责任分配的基本原则是：

（）o［单选题］，

A、“三分靠技术，七分靠管理

B、“七分靠技术，三分靠管理”

C、“谁主管.谁负责”确答&

D、防火墙技术

3.3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下

0不属于信息运行安全技术的范畴。

［单选题］*

A、风险分析

B、审计跟踪技术iF讶关奚）

C、应急技术

D、防火墙技术

4.4.从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该（）。

I单选题I*

A、内部实现"八

B、外部采购实现

C、合作实现

D、多来源合作实现

5.5、从风险分析的观点来看，计算机系统的最主要弱点是（）。

【单选题］*

A、内部计算机处理

B、系统输入输出工了.答妄）

C、通讯和网络

D、外部计算机处理

6.6、从风险管理的角度，以下那种方法不可取？

（）［单选题］*

A、接受风险

B、分散风险

C、转移风险

D、拖延风险（正确答交I

7.7、当今IT的发展与安全投入，安全意识和安全手段之间形成（）。

［单选题y

A、安全风险屏障

B、安全风险缺口，代

C、管理方式的变革

D、管理方式的缺口

8.8、当为计算机资产定义保险覆盖率时.下列哪一项应该特别考虑？

（）o［单

选题1*

A、已买的软件

B、定做的软件

C、硬件

D、数据工"二）

9.9.当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：

（）［单选题1李

A、访问控制列表

B、系统服务配置情况

C、审计记录正野答幻

D、用户账户和权限的设置

10.10、根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统.不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行（）。

［单选题］*

A、逻辑隔离

B、物理隔离

C、安装防火墙

D、VLAN划分

11.11、根据《信息系统安全等级保护定级指南》.信息系统的安全保护等级由哪两个定级要素决定？

0【单选题］序

A、威胁、脆弱性

B、系统价值、风险

C、信息安全、系统服务安全

D、受侵害的客体、对客体造成侵害的程度业务1^-*.

12.12、公司应明确员工的雇佣条件和考察评价的方法与程序，减少因雇佣不当而产生的安全风险.人员考察的内容不包括（）。

【单选题1*

A、身份考验、来自组织和个人的品格鉴定

B、家庭背景情况调查「以壬£

C、学历和履历的真实性和完整性

D、学术及专业资格

13.13、计算机信息的实体安全包括环境安全、设备安全、（）三个方面。

［单选

题］*

A运行安全

B、媒体安全（谯*

C、信息安全

D、人事安全

14.14、目前，我国信息安全管理格局是一个多方“齐抓共管''的体制，多头管理现状决定法出多门，《计算机信息系统国际联网保密管理规定》是由下列哪个部门所指定的规章制度？

0［单选题］“

A、公安部

B、国家保密局

C、信息产业部

D、国家密码管理委员会办公室

15.15、目前我国颁布实施的信息安全相关标准中，以下哪一个标准属于强制执行的标准？

（）［单选题］*

A、GB/T18336-2（X）1信息技术安全性评估准则

B、GB17859-1999计算机信息系统安全保护等级划分准则

C、GB/T9387.2-1995信息处理系统开放系统互联安全体系结构

D、GA/T391-2002计算机信息系统安全等级保护管理要求

16.16、确保信息没有非授权泄密.即确保信息不泄露给非授权的个人、实体或进程，不为其所用，是指0o【单选题］*

A、完整性

B、可用性

C、保密性正确答索）

D、抗抵赖性

17.17,如果对于程序变动的手工控制收效甚微，以下哪一种方法将是最有效的？

0［单选题】*

a、自动软件管理r

B、书面化制度

C、书面化方案

D、书面化标准

18.18、如果将风险管理分为风险评估和风险减缓，那么以下哪个不属于风险减缓

的内容？

（）［单选题I*

A、计算风险（王■答纾

B、选择合适的安全措施

C、实现安全措施

D、接受残余风险

19.19、软件供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个•、后门"程序。

以下哪一项是这种情况面临的最主要风险？

0〔单选题］*

A、软件中止和黑客入侵E璃谷案，

B、远程监控和远程维护

C、软件中止和远程监控

D、远程维护和黑客入侵

20.20、管理审计指（）［单选题］*

A、保证数据接收方收到的信息与发送方发送的信息完全一致

B、防止因数据被截获而造成的泄密

C、对用户和程序使用资源的情况进行记录和审查W笋八

D、保证信息使用者都可

21.21、为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪

一项是最好的方法？

0［单选题y

A、进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码正确答案）

B、进行离职谈话，禁止员工账号，更改密码

C、让员工签署跨边界协议

D、列出员工在解聘前需要注意的所有责任

22.22、为了有效的完成工作，信息系统安全部门员工最需要以下哪一项技能？

0［单选题

A、人际关系技能

B、项目管理技能

C、技术技能

D、沟通技能F.硝号实）

23.23、我国的国家秘密分为几级？

（）I单选题］，

A、3（「确答案）

B、4

C、5

D、6

24.24.系统管理员属于（）o|单选题］李

A、决策层

B、管理层

C、执行层

D、既可以划为管理层，又可以划为执行层

25.25、下列哪一个说法是正确的？

（）I单选题I*

A、风险越大，越不需要保护

B、风险越小，越需要保护

C、风险越大.越需要保护O

D、越是中等风险,越需要保护

26.26、下面哪类访问控制模型是基于安全标签实现的？

（）【单选题］*

A、自主访问控制

B、强制访问控制/筌空：

C、基于规则的访问控制

D、基于身份的访问控制

27.27、T面哪项能够提供最佳安全认证功能？

（）［单选题］*

A、这个人拥有什么

B、这个人是什么并且知道什么F部答％，

C、这个人是什么

D、这个人知道什么

28.28.下面哪一个是国家推荐性标准？

（）【单选题］。

A、GB.T18020-1999应用级防火境安全技术要求

B、SJ/T30003-93电子计算机机房施工及验收规范

C、GA243-2000计算机病毒防治产品评级准则

D、ISO/IEC15408-1999信息技术安全性评估准则

29.29.下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的？

（）

［单选题1*

A、对安全违规的发现和验证是进行惩戒的重要前提

B、惩戒措施的一个重要意义在于它的威慑性

C、处于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训，己"答上:

D、尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重

30.30、下面哪一项最好地描述了风险分析的目的？

（）［单选题y

A、识别用于保护资产的责任义务和规章制度

B、识别资产以及保护资产所使用的技术控制措施

C、识别资产、脆落性并计算潜在的风险7"；，

D、识别同责任义务有直接关系的威胁

31.31、下面哪一项最好地描述了组织机构的安全策略？

（）［单选题］*

A、定义了访问控制需求的总体指导方针X**

B、建议了如何符合标准

C、表明管理意图的高层陈述

D、表明所使用的技术控制措施的高层陈述

32.32、下面哪一种风险对电子商务系统来说是特殊的？

（）【单选题］*

A、服务中断

B、应用程序系统欺骗

C、未授权的信息泄露

D、确认信息发送错误"3

33.33、下面有关我国标准化管理和组织机构的说法错误的是？

（）【单选题1*

A、国家标准化管理委员会是统一管理全国标准化工作的主管机构

B、国家标准化技术委员会承担国家标准的制定和修改工作

C、全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布（正破答,）

D、全国信息安全标准化技术委员员责统一协调信息安全国家标准年度技术项目

34.34、项目管理是信息安全工程师基本理论，以下哪项对项目管理的理解是正确

的？

0［单选题］*

A、项目管理的基本要素是质最,进度和成本答上

B、项目管理的基本要素是范围，人力和沟通

C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织

D、项目管理是项目的管理者.在有限的资源约束下，运用系统的观点，方法和理论，对项目涉及的技术工作进行有效地管理

35.35.信息安全的金三角是（）oI单选题尸

A、可靠性，保密性和完整性

B、多样性.冗余性和模化性

C、保密性，完整性和可用性匀答幻

D、多样性，保密性和完整性

36.36.信息安全风险缺口是指（）o［单选题里

A、1T的发展与安全投入，安全意识和安全手段的不平衡工勺谷河，

B、信息化中，信息不足产生的漏洞

C、计算机网络运行.维护的漏洞

D、计算中心的火灾隐患

37.37.信息安全风险应该是以下哪些因素的函数？

（）【单选题］*

A、信息资产的价值、面临的威胁以及自身存在的脆弱性等"5*

B、病毒、黑客、漏洞等

C、保密信息如国家密码、商业秘密等

D、网络、系统、应用的复杂的程度

38.38、信息安全工程师监理的职责包括？

（）【单选题1*

A、质量控制，进度控制.成本控制，合同管理，信息管理和协调三笞1

B、质星控制，进度控制，成本控制，合同管理和协调

C、确定安全要求，认可设计方案，监视安全态势，建立保障证据和协调

D、确定安全要求，认可设计方案，监视安全态势和协调

39.39.信息安全管理最关注的是？

（）［单选题］金

A、外部恶意攻击

B、病毒对PC的影响

C、内部恶意攻击答*"

D、病毒对网络的影响

40.40、信息分类是信息安全管理工作的重要环节，下面哪一项不是对信息进行分

类时需要重点考虑的？

0I单选题1*

A、信息的价值

B、信息的时效性

C、信息的存储方式

D、法律法规的规定

41.41.信息网络安全的第三个时代是（）【单选题广

A、主机时代，专网时代,多网合一时代|正确答案）

B、主机时代，PC时代,网络时代

C、PC时代，网络时代，信息时代

D、2001年，2002年，2003年

42.42.一个公司在制定信息安全体系框架时，下面哪一项是首要考虑和制定的？

0I单选题1*

A、安全策略E/答Mi

B、安全标准

C、操作规程

D、安全基线

43.43.以下哪个不属于信息安全的三要素之一？

（）［单选题］*

A、机密性

B、完整性

C、抗抵赖性，芸宾:

D、可用性

44.44.以下哪一项安全目标在当前计算机系统安全建设中是最重要的？

（）［单

选题1*

A、目标应该具体

B、目标应该清晰

C、目标应该是可实现的正

D、目标应该进行良好的定义

45.45.以下哪一项计算机安全程序的组成部分是其它组成部分的基础？

（）［单

选题"

A、制度和措施正菱答・幻

B、漏洞分析

C、意外事故处理计划

D、采购计划

46.46.以下哪一项是对信息系统经常不能满足用户需求的最好解释>（）［单选

A、没有适当的质量管理工具

B、经常变化的用户需求

C、用户参与需求挖掘不够|己切答生，

D、项目管理能力不强

47.47.以下哪一种人给公司带来了最大的安全风险？

（）［单选题］*

A、临时工

B、咨询人员

C、以前的员工

D、当前的员工（正加答:

沁

48.48、以下哪种安全模型未使用针对主客体的访问控制机制？

（）［单选题I*

A、基于角色模型

B、自主访问控制模型

C、信息流模型

D、强制访问控制模型

49.49、以下哪种措施既可以起到保护的作用还能起到恢复的作用？

（）【单选题］

*

A、对参观者进行登记

B、备份

C、实施业务持续性计划

D、口令

50.50、以下哪种风险被定义为合理的风险？

（）［单选题|中

A、最小的风险

B、可接受风险

C、残余风险

D、总风险

51.51、以下人员中，谁负有决定信息分类级别的责任？

（）［单选题］*

A、用户

B、数据所有者，

C、审计员

D、安全官

52.52、有三种基本的鉴别的方式：

你知道什么，你有什么，以及（）。

【单选题I*

A、你需要什么

B、你看到什么

C、你是什么"%"

D、你做什么

53.53、在对一个企业进行信息安全体系建设中，下面那种方法是最佳的？

（）

［单选题］*

A、自下而上

B、自上而下|破可案：

C、上下同时开展

D、以上都不正确

54.54.在风险分析中，下列不属于软件资产的是（）I单选题］*

A、计算机操作系统

B、网络操作系统

C、应用软件源代码

D、外来恶意代码

55.55.在国家标准中,属于强制性标准的是：

（）［单选题］*

A、GBrrXXXX-X-200X

B、GBXXXX200X王响。

壬）

C、DBXX;TXXX-200X

D、QXXX-XXX-2（X）X

56.56.在任何情况下，一个组织应对公众和媒体公告其信息系统中发生的信息安

全事件？

（）［单选题］*

A、当信息安全事件的负面影响扩展到本组织意外时王世壬；个

B、只要发生了安全事件就应当公告

C、只有公众的什么财产安全受到巨大危害时才公告

D、当信息安全事件平息之后

57.57、在信息安全策略体系中，下面哪一项属于计算机或信息安全的强制性规则？

（）［单选题］*

A、标准（Standard）

B、安全策略（Securitypolicy）

C、方针（Guideline）

D、流程（Procedure）

58.58.在信息安全管理工作中•,符合性'•的含义不包括哪一项？

（）［单选题

A、对法律法规的符合

B、对安全策略和标准的符合

C、对用户预期服务效果的符合正讲答强

D、通过审计措施来验证符合情况

59.59、在许多组织机构中，产生总体安全性问题的主要原因是（）oI单选题］

A、缺少安全性管理

B、缺少故障管理

C、缺少风险分析

D、缺少技术控制机制

60.60、职责分离是信息安全管理的一个基本概念。

其关键是权利不能过分集中在某一个人手中。

职责分离的目的是确保没有单独的人员（单独进行操作）可以对应用程序系统特征或控制功

能进行破坏。

当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背？

（D）［单选题I*

A、数据安全管理员

B、数据安全分析员

C、系统审核员

D、系统程序员’竺"，

61.61、中国电信的岗位描述中都应明确包含安全职责，并形成正式文件记录在

案，对于安全职责的描述应包括（）。

［单选题］*

A、落实安全政策的常规职责

B、执行具体安全程序或活动的特定职责

C、保护具体资产的特定职责

D、以上都对I王函壬空）

62.62、终端安全管理目标：

规范支撑系统中终端用户的行为，降低来自支撑系统终端的安全威

胁，重点解决以下哪些问题？

（A）。

［单选题］*

A、终端接入和配置管理；终端账号、秘密、漏洞补丁等系统安全管理；桌面及主机设置管理；终端防病毒管理正勺竺京）

B、终端账号、秘密、漏洞补丁等系统安全管理；桌面及主机设置管理；终端防病毒管理

C、终端接入和配置管理；桌面及主机设置管理:

终端防病毒管理

D、终端接入和配置管理；终端账号、秘密、漏洞补丁等系统安全管理；桌面及主机设置管理

63.63、著名的橘皮书指的是（）o［单选题1*

A、可信计算机系统评估标准（TCSEC）

B、信息安全技术评估标准（【TSEC）

C、美国联邦标准（FC）

D、通用准则（CC）

64.64、资产的敏感性通常怎样进行划分？

（）［单选题］*

A、绝密、机密、敏感

B、机密、秘密、敏感和公开

C、绝密、机密、秘密、敏感和公开等五类正确答案）

D、绝密、高度机密、秘密、敏感和公开等五类

65.65、重要系统关键操作操作日志保存时间至少保存（）个月。

I单选题］*

A、1

B、2

C、3（王确答案）

D、4

66.66.安全基线达标管理办法规定：

BSS系统口令设置应迺循的内控要求是（）

I单选题

A、数字+字母

B、数字■字母+符号

C、数字+字母+字母大小写|正确答案）

D、数字+符号

67.67.不属于安全策略所涉及的方面是（）o［单选题］*

A、物理安全策略

B、访问控制策略

C、信息加密策略

D、防火墙策略正汽笠圭）

68.68、“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，

国家秘密的密级分为：

（）。

［单选题尸

A、“普密”、“商密”两个级别

B、“低级”和“高级”两个级别

c、,•绝密二“机密”、秘密、'三个级别:

正确答案）

D、、、一密二“二密”，“三密二'、四密''四个级别

69.69.对MBOSS系统所有资产每年至少进行（）次安全漏洞自评估。

【单选题I

♦

A、1（正确答案）

B、2

C、3

D、4

70.70、下列情形之一的程序，不应当被认定为《中华人民共和国刑法》规定的“计算机病毒等破坏性程序”的是：

（）。

【单选题I*

A、能够盗取用户数据或者传播非法信息的

B、能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、传播.并破坏计算机系统功能、数据或者应用程序的

C、能够在预先设定条件下自动触发,并破坏计算机系统功能、数据或者应用程序的

D、其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序

71.71.中国电信各省级公司争取在1・3年内实现［单选题］，

CTG-MBOSS系统安全基线“达标”（C）级以上。

E¥）

A、A级

B、B级

C、C级

D、D级

72.72.下面对国家秘密定级和范围的描述中.哪项不符合《保守国家秘密法》要

求？

0［单选题I*

A、国家秘密和其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关规定

B、各级国家机关、单位对所产生的秘密事项.应当按照国家秘密及其密级的具体范围的规定确定密级

C、对是否属于国家和属于何种密级不明确的事项，可有各单位自行参考国家要求

确定和定级，然后国家保密工作部门备案彳":

，

D、对是否属于国家和属于何种密级不明确的事项，由国家保密工作部门，省、自治区、直辖市的保密工作部门,省、自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定。

73.73、获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息（）

组以上的可以被《中华人民共和国刑法》认为是非法获取计算机信息系统系统认定

的,,情节严重［单选题y

A、5

B.101］

C、-15

D、20

74.74.基准达标项满（）分作为安全基线达标合格的必要条件。

【单选题1*

A、50

B、60（正确答案）

C、70

D、8（）

75.75.《国家保密法》对违法人员的量刑标准是（）°［单选题］*

A、国家机关工作人员违法保护国家秘密的规定,故意或者过失泄露国家秘密.情节严重的，处三年以下有期徒刑或者拘役；情节特别严重的.处三年以上七年以下有期徒刑

B、国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严重的，处四年以下有期徒刑或者拘役；情节特别严重的.处四年以上七年以下有期徒刑

C、国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严重的，处五年以下有期徒刑或者拘役；情节特别严重的.处五年以上七年以下有期徒刑

D、-国家机关工作人员违法保护国家秘密的规定,故意或者过失泄露国家秘密.情节严重，处七年以下有期徒刑或者拘役；情节特别严重的.处七年以下有期徒刑

76.76.SHOME/.netrc文件包含下列哪种命令的自动登象信息？

（）［单选题］*

A、rsh

B、ssh

C、f〔p（正确答案）

D、rlogin

77.77./etc/ftpuser文件中出现的账户的意义表示（）。

［单选题］*

A、该账户不可登录ftp硝气八

B、该账户可以登录ftp

C、没有关系

D、缺少

78.78.按TCSEC标准，WinNT的安全级别是（）。

【单选题］*

A、C2（正确答案）

B、B2

C、C3

D、B1

79.79.Linux系统/clc目录从功能上看相当于Windows的哪个目录？

（）［单选题］w

A、programfiles

B、Windows正硝号Wi

C、systemvolumeinlbrmation

D、TEMP

80.80、Linux系统格式化分区用哪个命令？

（）［单选题］木

A、fdisk1硝笞奚）

B、mv

C、mount

D、df

81.81、在Unix系统中，当用Is命令列出文件属性时，如果显示・rwxrwxrwx,意思

是（）。

［单选题I*

A、前三位rwx表示文件属主的访问权限；中间三位rwx表示文件同组用户的访问权限；后三位rwx表示其他用户的访问权限上确答案）

B、前三位rwx表示文件同组用户的访问权限；中间三位rwx表示文件属主的访问

权限；后三位rwx表示其他用户的访问权限

C、前三位rwx表示文件同域用户的访问权限；中间三位rwx表示文件属主的访问

权限；后三位rwx表示其他用户的访问权限

D、前三位rwx表示文件属主的访问权限；中间三位rwx表示文件同组用户的访问

权限；后三位rwx表示同域用户的访问权限

82.82、Linux系统通过（）命令给其他用户发消息。

［单选题I*

A、less

B、mesg

C、write正确答案）

D、echoto

83.83、Linux中，向系统中某个特定用户发送信息，用什么命令？

（）［单选题］*

A、wall

B、write正确答案）

C、mesg

D、netsend

84.84.防止系统对ping请求做出回应，正确的命令是：

（）。

【单选题］$

A、echo0>/proc/sys/net/ipv4/icmp_ehco_ignore_all

B、echo0>/pro