信息安全考试题目.docx

1、信息安全考试题目信息安全考试题目机构名称：所属部门：考生姓名：注意事项：本试卷满分 100 分，考试时间 80 分钟。一、单选题（ 20题，每题 2 分，共 40分）1、为尽量防止通过浏览网页感染恶意代码，下列做法中错误的是（）。A.不使用 IE 浏览器，而使用 FireFox（火狐）之类的第三方浏览器B.关闭 IE 浏览器的自动下载功能C.禁用 IE 浏览器的活动脚本功能D.先把网页保存到本地再浏览2、下列说法正确的是（）。A.“灰鸽子 ”是一种很便捷的互联网通讯小工具B.Nimda 是一种蠕虫病毒C.CIH病毒可以感染 WINDOWS 98也可以感染 WINDOWS 2000D.世界上最早

2、的计算机病毒是小球病毒3、下列不属于信息系统面临的威胁是（）。A.软硬件故障B.制度未定期评审C.拒绝服务D.雷雨4、如果你刚收到一封你同事转发过来的电子邮件，警告你最近出现了一个可怕的新病毒，你应先考虑做下面哪件事情？（）A.将这个消息传给你认识的每个人B.用一个可信赖的信息源验证这个消息C.将你的计算机从网络上断开D.升级你的病毒库5、下面哪项不属于黑客攻击的基本手法？（ B）A.踩点B.加固系统安全C.扫描D.安装后门6、当面临一堆数据资产时，谁最有发言权决定面前这堆数据的该怎么分 类？（）A.部门主管B.高级管理层C.运维和保护这堆数据的数据所有者D.这堆数据的日常使用者7、一般情况下

3、，哪类群体容易诱发公司的信息安全风险？（） A.公司的雇员B.社会上的黑客C.恐怖分子D.公司的服务商 / 集成商8、当对数据进行分类时，数据所有者首先最应该考虑什么？（） A.首先考虑哪些雇员、客户、集成商 / 服务商都分别应该访问哪些数据 B.首先考虑清楚并确定这些数据的三性（机密性、完整性、可用性） C.首先考虑数据面临什么样的 威胁D.首先考虑数据的访问控制策略9、在您所知的信息系统所有认证方式中，下列对于口令认证方式描述正确 的是（）。A.它是最便宜和提供最强安全防护能力的B.它是最昂贵和提供最强安全防护能力的C.它是最昂贵和提供最弱安全防护能力的D.它是最便宜和提供最弱安全防护能力

4、的10、谁最终负责确定数据分类的正确性和保护措施的合理性？（A.客户B.高级管理层C.运维和保护这堆数据的数据所有者D.这堆数据的日常使用者11、什么时候可以决定不对某个风险项进行处置？（）A.不会发生这种情况的，我们公司会逐项确认并整改所有风险项B.因某方面的潜规则要求从而不确认某个风险项时C.为了处置某一风险项而将要实施的整改措施较为复杂时D.处置风险所付出的代价超过实际威胁造成的损失时12、当公司机房发生火灾时，您觉得首先应该做什么？（A.关掉电闸并查看消防装置状态是否正常B.辨别火势和起火原因C.抢救机房内重要资产和贵重物品D.向楼内所有员工发出告警并组织疏散13、下面哪个不是实施风险

5、分析的目的？（）A.分担责任B.明晰威胁可能造成的影响C.识别风险及其等级） D.明确风险的危害并找出各种对策14、关于计算机网络访问安全不正确的描述是（）。A.系统管理员不必对其他用户的访问权限进行检查B.访问控制基本原则：未经明确允许即为禁止访问C.必须通过唯一注册的用户 ID 来控制用户对网络的访问D.系统管理员必须确保用户访问基于最小特权原则而授权15、对于 “风险评估过程中，我们是否有必要让各个部门都参与进来 ”这句 话的思考，下面哪项最为正确？（）A.为了确保风险评估过程的公平，为了确保每个人员都未被排除在外，我 们应该这样做。B.我们不需要。我们只要让一部分风险评估的专业人员（如

6、咨询公司）来做 就行，风险评估使用的数据有用与否、偏颇与否不会影响风险分析的。C.公司面临风险的数据应从最理解公司业务和环境的人群中取得，而每个部 门恰恰能很好的理解他们自己的资源和风险，并且他们很可能已经知道特定风 险的解决方案。所以应该让大家参与进来。D.因为各部门的雇员也可能是各类风险的诱发者，所以应该让他们参与进来。16、人员安全不包括（）A.背景检查B.技能意识培训C.系统测试流程D.绩效考核和奖惩17、下面的说法正确的是（）。A.信息的泄漏只在介质的传递过程中发生B.信息的泄漏只在介质的存储过程中发生C.信息的泄漏只在介质的传递和存储过程中发生D.上面三个都不对18、物理安全的管理

7、应做到（）。A.访客进入内部需持临时卡并由相关人员陪同B.办公区域应具备门禁设施C.在重要场所的迸出口安装监视器，并对进出情况进行录像D.以上均正确19、信息不能被未授权的个人，实体或者过程利用或知悉的特性，指的是 信息资产（）。A.可用性B.保密性C.完整性D.源发性20、含有重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在 人员离开时，以下存放方式错误的是（）。A.锁在文件柜B.锁在保险柜C.放在带锁的抽屉D.随意放在桌子上二、不定项选择题（ 15题，每题 4 分，共 60分）1、关于恶意代码防范策略描述正确的是（）。A.计算机必须部署指定的防病毒软件B.防病毒软件必须持续更新C.

8、感染病毒的计算机不能从网络中断开，要先从网络中获取最新的病毒防范 版本D.发生任何病毒传播事件，相关人员自己先解决，解决不了再向 IT 管理部门汇报2、关于口令的描述正确的是（）。A.用户名+口令是最简单也最常用的身份认证方式B.口令是抵御攻击的第一道防线，防止冒名顶替C.口令与个人隐私息息相关，必须慎重保护D.由于使用不当，往往使口令成为最薄弱的安全环节3、信息资产的三性包括（）。A.可用性B.机密性C.完整性D.源发性4、哪些属于信息安全中禁止的行为（）。A.发现信息安全事故或薄弱点，及时知会责任部门B.随意安装未经公司确认的软件C.在互联网上发送未经处理的口令或其他敏感信息D.出于便捷或

9、其他目的，在未经申报的情况下，信息系统的特权用户为自 己临时新建其他帐户5、信息的存在形式包括（）。A.打印或写在纸上B.以电子方式存储C.用邮寄或电子方式传送D.用语言表达E.呈现在胶片上6、关于资产、威胁和薄弱点三者的关系描述正确的有（）。A.资产具有价值B.薄弱点将资产暴露给威胁，威胁利用薄弱点对资产造成潜在影响C.一个薄弱点对应一个威胁D.一个资产可能面临多个威胁，一个威胁可能利用多个薄弱点7、第三方均指本部门员工以外的其他组织和其他人员，即外来者，第三方 的分类主要包括有（）。A.常驻本部门的项目开发人员（该人员隶属于开发外包单位）B.本部门处于实习期 / 试用期的雇员C.设备厂商技

10、术人员D.货运接送或销售人员等E.行业监管机构（如保监会）8、备份工作主要保证了信息和系统的（）。A.完整性B.可用性C.保密性D.符合性9、对发生以下情况对其访问权应予以注销（）。A.内部用户雇佣合同终止时B.雇员带薪休假时C.第三方访问合同终止时D.内部用户因岗位调整不再需要此项访问服务时10、重大信息安全事件发生后我们应当（）。A.妥善处理各相关事宜以降低损失B.在确定时限内恢复信息系统C.分析原因，做好记录D.明确责任人11、时至今日，您觉得随意使用移动媒体可能会带来哪些风险？（） A.机密信息被拷贝B.引入非法应用程序C.引入病毒及恶意代码D.引起硬件损坏12、口令使用的好习惯包括（

11、）。A.口令应该越简单越好B.口令应该经常更改C.初始口令设置不得为空D.难记的口令写在纸上并压在键盘底下以备随时查阅13、发送邮件我们应当注意（）。A.如果同样的内容可以用普通文本正文，就不要用附件B.发送不安全的文件之前，先进行病毒扫描C.不要参与所谓的邮件接龙D.尽量不要发送 .doc, .xls 等可能带有宏病毒的文件14、防范第三方人员通过社会工程学方式入侵公司信息系统，我们应当注 意（）。A.不轻易泄漏敏感信息B.在相信任何人之前，先校验其真实的身份C.不违背公司的安全策略D.积极配合来自电话、邮件的任何业务要求，即便是马上提供本人的口令 信息15、刑法第 285 条规定，对实施计算机信息系统犯罪的处罚包括（）A.社区/街道服务 1 个月B.处三年以下有期徒刑或者拘役C.处罚金D.处三年以上七年以下有期徒刑