注册信息安全专业人员CISOCISE通用版真题精选Word文档下载推荐.docx
《注册信息安全专业人员CISOCISE通用版真题精选Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《注册信息安全专业人员CISOCISE通用版真题精选Word文档下载推荐.docx(15页珍藏版)》请在冰豆网上搜索。
各分部防火墙的两个端口配置哪种模式最合理?
A.都是路由模式
B.都是NAT模式
C.路由模式和NAT模式
D.NAT和路由模式
D
4、某单位在评估生物识别系统时,对安全性提出了非常高的要求。
据此判断,下列哪一项技术指标对于该单位来说是最重要的?
A.错误接收率(FAR)
B.平均错误率(EER)
C.错误拒绝率(FRR)
D.错误识别率(FIR)
5、IP欺骗(IPSpoof)是利用TCP/IP协议中()的漏洞进行攻击的。
A.对源IP地址的鉴别方式
B.结束会话时的四次握手过程
C.IP协议寻址机制
D.TCP寻址机制
6、数据库管理员在检查数据库时发现数据库的性能不理想,他准备通过对部分数据表实施去除规范化(denormanization)操作来提高数据库性能,这样做将增加下列哪项风险?
A.访问的不一致
B.死锁
C.对数据的非授权访问
D.数据完整性的损害
7、下面哪一个工具不支持漏洞扫描()
A.BT5
B.NMAP
C.wireshahe
D.nessus
C
8、为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成?
A.确保风险评估过程是公平的
B.因为风险正是由于这些来自不同部门的人员所引起的,因此他们应该承担风险评估的职责
C.因为不同部门的人员对本部门所面临的风险最清楚,由此进行的风险评估也最接近于实际情况
D.风险评估团队不应该由来自不同部门的人员组成,而应该由一个来自公司外部的小型团队组成
9、以下哪一种环境控制适用于保护短期内电力环境不稳定条件下的计算机设备?
A.电路调整器Powerlineconditioners
B.电流浪涌防护装置Asurgeprotectivedevice
C.替代电源
D.不间断供电
10、以下哪项不是风险评估阶段应该做的()
A.对ISMS范围内的信息资产进行鉴定和估价
B.对信息资产面对的各种威胁和脆弱性进行评估
C.对已存在的成规划的安全控制措施进行界定
D.根据评估结果实施相应的安全控制措施
11、某公司正在对一台关键业务服务器进行风险评估:
该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。
根据以上信息,该服务器的年度预期损失值(ALE)是多少?
A.1800元
B.62100元
C.140000元
D.6210元
12、“通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动?
A.规划和建立
B.实施和运行
C.监视和评审
D.保持和改进
13、风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项()。
A.明确组织管理机构
B.制定安全措施实施计划
C.资产识别并赋值
D.风险识别并赋值
14、以下哪一个是对于参观者访问数据中心的最有效的控制?
A.陪同参观者
B.参观者佩戴证件
C.参观者签字
D.参观者由工作人员抽样检查
15、当一个关键文件服务器的存储增长没有被合理管理时,以下哪一项是最大的风险?
A.备份时间会稳定增长
B.备份成本会快速增长
C.存储成本会快速增长
D.服务器恢复工作不能满足恢复时间目标(RTO)的要求
16、以下关于符合性管理的描述中错误的是()
A.符合性包括法律法规的符合性和组织安全策略方针的符合性
B.仅在组织内部使用的信息系统不必考虑来自外部的法律法规的要求
C.通过信息系统审核检查符合性时,应尽量减少审核对信息系统的影响
D.符合性管理中应当注意用户个人隐私保护问题
17、射频识别(RFID)标签容易受到以下哪种风险?
A.进程劫持
B.窃听
C.恶意代码
D.Phishing
18、在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?
A.C2
B.C1
C.B2
D.B1
19、SSE-CMM可以对获取组织、工程组织()产生作用
A.采购组织
B.开发组织
C.集成组织
D.认证组织
20、为增强Web应用程序的安全性,某软件开发经理决定加强Web软件安全开发培训,下面哪项内容要在他的考虑范围内()
A.关于网站身份签别技术方面安全知识的培训
B.针对OpenSSL心脏出血漏洞方面安全知识的培训
C.针对SQL注入漏洞的安全编程培训
D.关于ARM系统漏洞挖掘方面安全知识的培训
21、下面哪一种物理访问控制能够对非授权访问提供最高级别的安全?
A.bolting门锁
B.Cipher密码锁
C.电子门锁
D.指纹扫描器
更多内容请访问《睦霖题库》微信公众号
22、VPN为相关企业解决很大问题,哪一项VPN实现不了?
A.节约成本
B.保证数据安全性
C.保证网络安全性
D.对VPN内数据进行加密
23、信息安全风险评估是信息安全管理体系建立的基础,以下说法错误的是()
A.信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安全风险评估
B.风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估
C.风险评估可以确定需要实施的具体安全控制措施
D.风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合
24、某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法。
A.模糊测试
B.源代码测试
C.渗透测试
D.软件功能测试
25、干管灭火器系统使用()。
A.水,但是只有在发现火警以后水才进入管道
B.水,但是水管中有特殊的防水剂
C.CO2代替水
D.哈龙代替水
26、以下《关于加强政府信息系统安全和保密管理工作的通知》和《关于印发政府信息系统安全检查办法》错误的是()
A.明确检查方式“以自查为主,抽查为辅”、按需求进行技术检测
B.明确对信息安全工作“谁主管谁负责、谁运行谁负责、谁使用谁负责”
C.明确安全管理措施和手段必须坚持管理制度和技术手段
D.明确工信部具体负责组织检查
[多项选择题]
27、属于DDOS攻击的是:
A.SynFlood
B.Trinoo
C.Stacheldraht
D.FunTimeApocalypse
B,C,D
28、小陈自学了信息安全风险评估的相关理论知识后,根据风险分析阶段的工作内容和计量方法只是,绘制了如下四张图,图中F1、F2、F3、F4分别代表某种计算函数,四组图中,计算关系表达正确的是()。
A.A
B.B
C.C
D.D
29、所有进入物理安全*区域的人员都需经过()。
A.考核
B.授权
C.批准
D.认可
30、对PPDR模型的解释错误的是()
A.该模型提出安全策略为核心,防护、检测和恢复组成一个完整的、动态的循环
B.该模型的一个重要贡献是加速了时间因素,而且对如何实现系统安全和评价安全状态给出了可操作的描述
C.该模型提出的公式1:
Pt>
Dt+rt,代表防护时间大于检测时间加响应时间
D.该模型提出的公式2:
Et=Dt+rt,代表当防护时间为0时,系统的暴露时间等于检测时间加响应时间
31、依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是()
A.信息系统安全保障目的
B.环境安全保障目的
C.信息系统安全保障目的和环境安全保障目的
D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
32、信息安全管理体系(informationSecurltyManagementSystem.简称ISMS)的实施和运行ISMS阶段,是ISMS过程模型的实施阶段,下面给出了一些备选的活动,选项()描述了在此阶段组织应进行的活动。
①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划⑤管理ISMS的运行⑥管理ISMS的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估
A.①②③④⑤⑥
B.①②③④⑤⑥⑦
C.①②③④⑤⑥⑦⑧
D.①②③④⑤⑥⑦⑧⑨
33、维持对于信息资产的适当的安全措施的责任在于()。
A.安全管理员
B.系统管理员
C.数据和系统的所有者
D.系统作业人员
34、公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。
下面说法哪个是错误的()
A.乙对信息安全不重视,低估了黑客能力,不舍得花钱
B.甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费
C.甲未充分考虑网游网站的业务与政府网站业务的区别
D.乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求
35、层次化的文档是信息安全管理体系《informationSecurltyManagementSystem.ISMS》建设的直接体系
升级会员 