信息系统项目管理安全习题.docx
《信息系统项目管理安全习题.docx》由会员分享,可在线阅读,更多相关《信息系统项目管理安全习题.docx(17页珍藏版)》请在冰豆网上搜索。
![信息系统项目管理安全习题.docx](https://file1.bdocx.com/fileroot1/2022-11/25/7962bff7-9583-4f0b-9443-544017334e00/7962bff7-9583-4f0b-9443-544017334e001.gif)
信息系统项目管理安全习题
单选题80题
●电子商务交易必须具备抗抵赖性,目的在于防止
(1)。
(1)A.一个实体假装成另一个实体
B.参与此交易的一方否认曾经发生过此次交易
C.他人对数据进行非授权的修改、破坏
D.信息从被监视的通信过程中泄漏出去
答案:
(1)B
●两个公司希望通过Internet进行安全通信,保证从信息源到目的地之间的数据传输以密文形式出现,而且公司不希望由于在中间节点使用特殊的安全单元而增加开支,最合适的加密方式是
(2),使用的会话密钥算法应该是(3)。
(2)A.链路加密B.节点加密C.端-端加密D.混合加密
(3)A.RSAB.RC-5C.MD5D.ECC
答案:
(2)C(3)B
●窃取是对(4)的攻击,DDos攻击破坏了(5)。
(4)A.可用性B.保密性C.完整性D.真实性
(5)A.可用性B.保密性C.完整性D.真实性
答案:
(4)B(5)A
●数据加密标准(DES)是一种分组密码,将明文分成大小(6)位的块进行加密,密钥长度为(7)位。
(6)A.16B.32C.56D.64
(7)A.16B.32C.56D.128
答案:
(6)D(7)C
●以下用于在网路应用层和传输层之间提供加密方案的协议是(8)。
(8)A.PGPB.SSLC.IPSecD.DES
答案:
(8)B
●驻留在多个网络设备上的程序在短时间内同时产生大量的请求信息冲击某个Web服务器,导致该服务器不堪重负,无法正常响应其它合法用户的请求,这属于(9)。
(9)A.网上冲浪B.中间人攻击C.DDoS攻击D.MAC攻击
答案:
(9)C
●网络安全设计是保证网络安全运行的基础,网络安全设计有其基本的设计原则,以下有关于网络安全设计原则的描述,错误的是(10)。
(10)A.网络安全的“木桶原则”强调对信息均衡、全面地进行保护
B.良好的等级划分,是实现网络安全的保障
C.网络安全系统设计应独立进行,不需要考虑网络结构
D.网络安全系统应该以不影响系统正常运行为前提
答案:
(10)C
●许多黑客利用软件实现中的缓冲区溢出漏洞进行攻击,对于这一威胁,最可靠的解决方案是(11)。
(11)A.安装防火墙B.安装用户认证系统
C.安装相关的系统补丁软件D.安装防病毒软件
答案:
(11)C
●(12)无法有效防御DDoS攻击。
(12)A.根据IP地址对数据包进行过滤
B.为系统访问提供更高级别的身份认证
C.安装防病毒软件
D.使用工具软件检测不正常的高流量
答案:
(12)C
●IPSecVPN安全技术没有用到(13)。
(13)A.隧道技术B.加密技术
C.入侵检测技术D.身份认证技术
答案:
(13)C
●DES是一种(14)算法。
(14)A.共享密钥B.公开密钥C.报文摘要D.访问控制
答案:
(14)A
●包过滤防火墙通过(15)来确定数据包是否能通过。
(15)A.路由表B.ARP表C.NAT表D.过滤规则
答案:
(15)D
●目前在网络上流行的“熊猫烧香”病毒属于(16)类型的病毒。
(16)A.目录B.引导区C.蠕虫D.DOS
答案:
(16)C
●多形病毒指的是(17)的计算机病毒。
(17)A.可在反病毒检测时隐藏自己B.每次感染都会改变自己
C.可以通过不同的渠道进行传播D.可以根据不同环境造成不同破坏
答案:
(17)B
●Needham-Schroeder协议是基于(18)的认证协议。
(18)A.共享密钥B.公钥C.报文摘要D.数字证书
答案:
(18)A
●某web网站向CA申请了数字证书。
用户登录该网站时,通过验证(19),可确认该数字证书的有效性,从而(20)。
(19)A.CA的签名B.网站的签名C.会话密钥D.DES密码
(20)A.向网站确认自己的身份B.获取访问网站的权限
C.和网站进行双向认证D.验证该网站的真伪
答案:
(19)A(20)D
●实现VPN的关键技术主要有隧道技术、加解密技术、(21)和身份认证技术。
如果需要在传输层实现VPN,可选的协议是(22)。
(21)A.入侵检测技术B.病毒防治技术
C.安全审计技术D.密钥管理技术
(22)A.L2TPB.PPTP
C.TLSD.IPSec
答案:
(21)D(22)C
●在进行金融业务系统的网络设计时,应该优先考虑(23)原则。
在进行企业网络的的需求分析时,应该首先进行(24)。
(23)A.先进性B.开放性
C.经济性D.高可用性
(24)A.企业应用分析B.网络流量分析
C.外部通信环境调研D.数据流向图分析
答案:
(23)D(24)A
●ARP木马利用感染主机向网络发送大量虚假ARP报文.例如:
向被攻击主机发送的虚假ARP报文中,目的IP地址为(25)。
目的MAC地址为(26)。
这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器,并抓包截取用户口令信息。
(25)A.网关IP地址B.感染木马的主机IP地址
C.网络广播IP地址D.被攻击主机IP地址
(26)A.网关MAC地址B.被攻击主机MAC地址
C.网络广播MAC地址D.感染木马的主机MAC地址
答案:
(25)A(26)D
●下面的选项中,属于传输层安全协议的是(27)。
(27)A.IPsecB.L2TPC.TLSD.PPTP
答案:
(27)C
●某银行为用户提供网上服务,允许用户通过浏览器管理自己的银行账户信息。
为保障通信的安全,该Web服务器可选的协议是(28)。
(28)A.POPB.SNMPC.HTTPD.HTTPS
答案:
(28)D
●(29)是错误的网络设备选型原则。
(29)A.选择网络设备,应尽可能地选择同一厂家的产品
B.为了保证网络性能,应尽可能地选择性能高的产品
C.核心设备的选取要考虑系统日后的扩展性
D.核心设备选取要充分其可靠性
答案:
(29)B
●数字签名功能不包括(30)。
(30)A.防止发送方的抵赖行为B.发送方身份确认
C.接收方身份确认D.保证数据的完整性
答案:
(30)C
●“TCPSYNFlooding”建立大量处于半连接状态的TCP连接,其攻击目标是网络的(31)。
(31)A.保密性B.完整性C.真实性D.可用性
答案:
(31)D
●TCP/IP在多个层次引入了安全机制,其中TLS协议位于(32)。
(32)A.数据链路层B.网络层C.传输层D.应用层
答案:
(32)C
●计算机感染特洛伊木马后的典型现象是(33)。
(33)A.程序异常退出B.有未知程序试图建立网络连接
C.邮箱被垃圾邮件填满D.Windows系统黑屏
答案:
(33)B
●下列安全协议中,(34)能保证交易双方无法抵赖。
(34)A.SETB.HTTPSC.PGPD.MOSS
答案:
(34)A
●下面关于网络系统设计原则的说法中,正确的是(35)。
(35)A.网络设备应该尽量采用先进的网络设备,获得最高的网络性能
B.网络总体设计过程中,只需要考虑近期目标即可,不需要考虑扩展性
C.网络系统应采用开放标准和技术
D.网络需求分析独立于应用系统的需求分析
答案:
(35)C
●ISMS的过程方法采用(36)模型。
(36)A.DCPAB.DPACC.PDCAD.CAPD
答案:
(36)C
●“根据授权实体的要求可访问和利用的特性”是指ISMS的(37)。
(37)A.可靠性B.可访问性C.可用性D.保密性
答案:
(37)C
●“信息不能被未授权的个人,实体或者过程利用或知悉的特性”是指其(38)。
(38)A.可靠性B.可访问性C.可用性D.保密性
答案:
(38)D
●“保护资产的准确和完整的特性”是指其(39)。
(39)A.可靠性B.准确性C.可用性D.完整性
答案:
(39)D
●识别风险不包括(40)。
(40)A.识别ISMS范围内的资产及其责任人
B.识别资产所面临的威胁
C.识别威胁发生的形式与时间
D.识别丧失保密性、完整性和可用性可能对资产造成的影响
答案:
(40)C
●以下(41)不属于分析和评价风险的内容。
(41)A.识别ISMS范围内的资产及其责任人。
B.在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造成的对组织的影响。
C.评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。
D.估计风险的级别。
答案:
(41)A
●风险处理的可选措施不包括(42)。
(42)A.采用适当的控制措施以降低风险。
B、采取一切可能的措施消除所有风险。
C、避免风险。
D、将相关业务风险转移到其他方,如:
保险,供应商等。
答案:
(42)B
●ISMS实施和运行的工作不包括(43)。
(43)A.制定风险处理计划。
B、实施风险处理计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
C、为处理风险选择控制目标和控制措施。
D、确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用来评估控制措施的有效性,以产生可比较的和可再现的结果。
答案:
(42)C
●“决定不卷入风险处境或从风险处境中撤出”是指(43)。
(43)A.风险接受B.风险降低C.风险转移D.风险回避
答案:
(43)D
●“在决策者或其他利益相关方之间交换或共享有关风险的信息”是指(44)。
(44)A.风险沟通B.风险协商C.风险转移D.风险认识
答案:
(44)A
●在开发风险可接受准则时,以下(45)不是应该考虑的内容。
(45)A.风险接受准则可以包括带有风险期望目标级别的多道门槛,提交给高层管理者接受的风险绝对不应该超出该级别。
B、风险可接受准则可以用估算收益(或业务收益)与估算风险的比值来描述。
C、对不同类型的风险可以采用不同的风险接受准则
D、风险接受准则可以包括下一步的补充处置要求
答案:
(45)A
判断题40题
●
(1)X.509数字证书中的签名字段是指用户对自己证书的签名()
答案:
×
●
(2)HTTPS是一种安全的HTTP协议,它使用IPSec来保证信息安全()
答案:
×
●(3)安全套接层协议(SSL)是在应用层和传输层之间增加的安全机制可以用SSL在任何网络上建立虚拟专用网()
答案:
×
●(4)安全套接层协议(SSL)的缺点是进行服务器端对客服端的单向身份认证()
答案:
×
●(5)安全IP协议(IPSec)通过认证头(AH)提供无连接的数据完整性和数据源认证、数据机密性保护和抗重发攻击服务()
答案:
×
●(6)当IPSec处于传输模式时,报文不仅在主机到网关之间的通路上进行加密,而且在发送方和接收方之间的所有通路上都要加密()
答案:
√
●(7)嗅探器可以使网络接口处于杂收模式,在这种模式下,网络接口能够接收流经网络接口的所有数据帧。
()
答案:
√
●(8)ARP木马利用地址解析协议设计之初没有任何验证功能这一漏洞而实施破坏。
()
答案:
√
●(9)ISMS规划阶段的主要任务是建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序,以提供与组织总方针和总目标相一致的结果。
()
答案:
√
●(10)ISMS实施阶段的主要任务是实施和运行ISMS方针、控制措施、过程和程序。
()
答案:
√
●(11)ISMS检查阶段的主要任务是对照ISMS方针、目标和实践经验,评估并在适当时,测量过程的执行情况,并将结果报告管理者以供评审。
()
答案:
√
●(12)ISMS处置阶段的主要任务是基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。
()
答案:
√
●(13)ISMS处置阶段的主要任务是对发现的安全事件进行及时处置,避免造成更大的损失。
()
答案:
×
●(14)ISMS检查阶段的主要任务是根据制订的ISMS策略和技术,发现和检查各种的安全问题。
()
答案:
×
●(15)ISMS实施阶段的主要任务是制订和部署ISMS安全策略、过程和程序,实施和运行ISMS控制措施、过程和程序。
()
答案:
×
●(16)ISMS规划阶段的主要任务是根据组织能够获取的安全技术和产品,建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序。
()
答案:
×
●(17)ISMS的目标是根据组织对信息安全方面的要求和期望,实现受控的信息安全。
()
答案:
√
●(18)信息安全的可用性是指根据授权实体的要求可访问和利用的特性。
()
答案:
√
●(19)ISMS是整个管理体系的一部分。
它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。
()
答案:
√
●(20)信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。
()
答案:
√
●(21)信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性。
()
答案:
√
●(22)风险评价是将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。
()
答案:
√
●(23)风险管理是指导和控制一个组织相关风险的协调活动,采取风险处理措施,消除和转移所有风险的过程。
()
答案:
×
●(24)风险管理是选择并且执行措施来更改风险的过程。
()
答案:
×
●(25)风险评估的主要工作是:
评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。
()
答案:
√
●(26)实施培训和意识教育计划是ISMS实施阶段的重要工作。
()
答案:
√
●(27)制定风险处理计划是ISMS实施阶段的重要工作。
()
答案:
×
●(28)ISMS工作小组建议的残余风险必须获得管理者的批准。
()
答案:
√
●(29)组织应该确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用来评估控制措施的有效性,以产生可比较的和可再现的结果。
()
答案:
√
●(30)在ISMS规划阶段,ISMS工作小组必须制定风险处理计划。
()
答案:
×
●(31)ISMS审核员的选择和审核的实施应确保审核过程的客观性和公正性,因此审核员不应审核自己的工作。
()
答案:
√
●(32)ISO/IEC27001规定“组织声称符合本标准时,对于4、5、6、7和8章的要求不能删减。
”,这意味着各种类型、规模和特性的组织都应该采用相同的ISMS管理和技术策略。
()
答案:
×
●(33)ISO/IEC27001依据安全技术的最新环境,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。
()
答案:
×
●(34)ISO/IEC27001规定“组织声称符合本标准时,对于4、5、6、7和8章的要求不能删减。
”,这意味着如果删减了任何控制措施,都不能声称符合该标准。
()
答案:
×
●(35)ISO/IEC27005为组织的信息安全风险管理提供指南,但不会提供任何特定的信息安全风险管理方法。
()
答案:
√
●(36)风险降低就是要采取行动降低风险发生的可能性或减轻负面后果,或同时降低风险发生的可能性和减轻负面后果。
()
答案:
√
●(37)风险管理分析,是在决定应该做什么和什么时候做之前分析可能发生什么以及可能的后果是什么,以将风险降低到可以接受的级别。
()
答案:
√
●(38)ISO/IEC27002提出的信息安全管理实用规则仅仅是指南性规则,不涉及实施信息安全管理的具体技术。
()
答案:
√
●(39)管理者应根据业务目标制定清晰的方针指导,并通过在整个组织中颁布和维护信息安全方针来表明对信息安全的支持和承诺。
答案:
√
●(40)ISMS进行信息安全事件管理时,应有正式的事态报告和上报程序。
所有雇员、承包方人员和第三方人员都应了解用来报告可能对组织的资产安全造成影响的不同类型的事态和弱点的程序。
应要求他们尽可能快地将信息安全事态和弱点报告给指定的联系点。
答案:
√
多选题30题
●数字证书采用公钥体制进行加密和解密。
每个用户有一个私钥,用它进行
(1);同时每个用户还有一个公钥,用于
(2)。
(1)A.解密 B.签名 C.加密 D.加密
(2)A.解密 B.签名 C.加密 D.加密
答案:
(1)A、B
(2)C、D
●下面关于数字签名的说法正确的是(3)。
(3)A.能够保证信息传输过程中的保密性
B.能够对发送者的身份进行认证
C.如果接收者对报文进行了篡改,会被发现
D.网络中的某一用户不能冒充另一用户作为发送者或接收者
答案:
(3)B、C、D
●802.11b定义了无线网的安全协议WEP(WiredEquivalentPrivacy)。
以下关于WEP的描述中,正确的是(4)。
(4)A.WEP使用RC4流加密协议
B.WEP支持40位密钥和128位密钥
C.WEP支持端到端的加密与认证
D.WEP是一种对称密钥机制
答案:
A、B、D
●(5)属于将入侵检测系统部署在DMZ中的优点。
(5)A.可以查到受保护区域主机被攻击的状态
B.可以检测防火墙系统的策略配置是否合理
C.可以检测DMZ被黑客攻击的重点
D.可以审计来自Internet上对受到保护网络的攻击类型
答案:
A、B、C
●DNS系统对于网络的正常运行是至关重要的,以下措施中可以增强DNS安全的是(6)。
(6)A.使用防火墙控制对DNS的访问
B.避免DNS的HINFO记录被窃取
C.更改DNS的端口号
D.限制区域传输
答案:
A、B、D
●乙收到了地址为甲的含数字签名的邮件,他可以通过验证数字签名来确认的信息有(7)。
(7)A.邮件在传送过程中是否加密
B.邮件中是否含病毒
C.邮件是否被篡改
D.邮件的发送者是否是甲
答案:
C、D
●以下关于报文摘要的说法中正确的有(8)。
(8)A.不同的邮件很可能生成相同的摘要
B.由邮件计算出其摘要的时间非常短
C.由邮件计算出其摘要的时间非常长
D.摘要的长度比输入邮件的长度长
E.不同输入邮件计算出的摘要长度相同
F.仅根据摘要很容易还原出原邮件
答案:
B、E
●关于网络安全,以下说法错误的是(9)。
(9)A.使用无线传输可以防御网络监听
B.木马是一种蠕虫病毒
C.使用防火墙可以有效地防御病毒
D.冲击波病毒利用Windows的RPC漏洞进行传播
答案:
A、B、C
●下列行为不属于网络攻击的是(10)。
(10)A.连续不停Ping某台主机
B.发送带病毒和木马的电子邮件
C.向多个邮箱群发一封电子邮件
D.暴力破解服务器密码
答案:
A、B、D
●安全电子邮件协议PGP支持(11)。
(11)A.确认发送者的身份B.确认电子邮件未被修改
C.防止非授权者阅读电子邮件D.压缩电子邮件大小
答案:
A、B、C、D
●在WindowsXP中用事件查看器查看日志文件,可看到的日志包括(12)。
(12)A.用户访问日志B.应用程序日志C.安全性日志
D.网络连接日志E.服务日志F.系统日志
答案:
B、C、F
●常用对称加密算法包括(13)。
(13)A.DESB.RC-5C.IDEAD.RSA
答案:
(13)A、B、C
●IPSec为TCP/IP通信提供访问控制、(14)、数据源验证、抗重放等多种安全服务。
IPSec的两种工作模式分别是(15)。
A、机密性B、可用性C、抗病毒性D、数据完整性
E、传输模式F、单通道模式G、多通道模式H、隧道模式
答案:
(14)A、D(15)E、H
●ISMS强调以下(16)几方面的重要性。
A、理解组织的信息安全要求和建立信息安全方针与目标的需要;
B、从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;
C、监视和评审ISMS的执行情况和有效性;
D、基于客观测量的持续改进。
答案:
(16)A、B、C、D
●信息安全的目标是保证信息的(17)。
A、保密性B、完整性C、可用性D、真实性
E、可核查性F、不可否认性G、可靠性H、无冗余性
答案:
(17)A、B、C、D、E、F、G
●在确立ISMS方针时,应该(18)。
A、包括设定目标的框架和建立信息安全工作的总方向和原则
B、考虑业务和法律法规的要求,及合同中的安全义务
C、在组织的战略性风险管理环境下,建立和保持ISMS
D、建立风险评价的准则
E、获得管理者批准
答案:
(18)A、B、C、D、E
●ISMS确定组织的风险评估方法时,必须(19)。
A、识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法
B、制定风险转移的方法
C、制定降低风险的方法和策略
D、制定接受风险的准则,识别可接受的风险级别
答案:
(19)A、D
●识别风险的范围包括(20)。
A、识别ISMS范围内的资产及其责任人
B、识别资产所面临的威胁
C、识别可能被威胁利用的脆弱点
D、识别丧失保密性、完整性和可用性可能对资产造成的影响
答案:
(20)A、B、C、D
●风险处理的可选措施包括(21)。
A、采用适当的控制措施以降低风险
B、在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险
C、避免风险
D、将相关业务风险转移到其他方,如:
保险,供应商等
答案:
(21)A、B、C、D
●ISMS实施和运行的工作包括(22)。
A.制定风险处理计划。
B、实施风险处理计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
C、为处理风险选择控制目标和控制措施。
D、确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用来评估控制措施的有效性,以产生可比较的和可再现的结果。
答案:
(22)A、B、D
●在监视和评审ISMS时,应当考虑以下(23)方面的变化。
A.组织。
B、技术。
C、业务目标和过程。
D、社会环境的变化。
答案:
(23)A、B、C、D
●在监视和评审ISMS时,组织需要执行监视与评审程序和其它