信息安全专业人员知识测试试题.pdfVIP

信息安全专业人员知识测试试题 （四） 1.小陈学习了有关信息安全管理体系的内容后，认为组织建立信息安全管理体系并持续运行， 比起简单地实施信息安全管理，有更大的作用，他总结了四个方面的作用，其中总结错误的是 （） A.可以建立起文档化的信息安全管理规范，实现有 “法”可依，有章可循，有据可查 B.可以强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化 C．可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心 D．可以深化信息安全管理，提高安全防护效果，使组织通过国际标准化组织的ISO9001 认证 答案： 2.随着 “互联网”概念的普及，越来越多的新兴住宅小区引入了 “智能楼宇”的理念，某物 业为提供高档次的服务，防止网络主线路出现故障，保证小区内网络服务的可用，稳定、高效， 计划通过网络冗余配置的是 （）。 A、接入互联网时，同时采用不同电信运营商线路，相互备份且互不影响。B、核心层、汇聚 层的设备和重要的接入层设备均应双机设备。 C、规划网络IP 地址，制定网络 IP 地址分配策略 D、保证网络带宽和网络设备的业务处理能力具务冗余空间，满足业务高峰期和业务发展需求 答案： 3.小陈自学了风评的相关国家准则后，将风险的公式用图形来表示，下面 F1，F2，F3，F4 分 别代表某种计算函数，四张图中，那个计算关系正确 A B C. D 答案： 4.在网络信息系统建设中部署防火墙，往往用于提高内部网络的安全防护能力。某公司准备 部署一台防火墙来保护内网主机，下列选项中部署位置正确的是 （） A.内网主机——交换机——防火墙——外网 B.防火墙——内网主机——交换机——外网答案： C. 内网主机——防火墙——交换机——外网 D.防火墙——交换机——内网主机——外网 5.下列关于软件安全开发中的 BSI （Build Security In)系列模型说法错误的是 （） A、BIS 含义是指将安全内建到软件开发过程中，而不是可有可无，更不是游离于软件开发生 命周期之外B、软件安全的三根支柱是风险管理、软件安全触点和安全测试 C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，它提供了从不同角度保 障安全的行为方式 D、BSI 系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中 都要确保将安全作为软件的一个有机组成部分 答案： 6.访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在 Windows2000 以后的操作系统版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可， 通常使用 ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中，对 windows 操作系统 访问控制实现方法的理解错误的是 （） A、ACL 只能由管理员进行管理 B、ACL 是对象安全描述的基本组成部分，它包括有权访问对象的用户和级的 SID C、访问令牌存储着用户的SID，组信息和分配给用户的权限D、通过授权管理器，可以实现基 于角色的访问控制 答案： 7.在现实的异构网络环境中，越来越多的信息需要实现安全的互操作。即进行跨域信息交换 和处理。Kerberos 协议不仅能在域内进行认证，也支持跨域认证，下图显示的是 Kerberos 协议 实现跨域认证的 7 个步骤，其中有几个步骤出现错误， 图中错误的描述正确的是： A.步骤 1 和步骤 2 发生错误，应该向本地 AS 请求并获得远程TGT B.步骤 3 和步骤 4 发生错误，应该向本地 TGS 请求并获得远程 TGT C.步骤 5 和步骤 6 发生错误，应该向远程 AS 请求并获得远程TGT D.步骤 5 和步骤 6 发生错误，应该向远程 TGS 请求并获得远程 TGT 答案： 8.某黑客通过分析和整理某报社记者小张的博客，找到一些有用的信息，通过伪装的新闻线 索，诱使其执行木马程序，从而控制了小张的电脑，并以她的电脑为攻击的端口，使报社的局域 网全部感染木马病毒，为防范此类社会工程学攻击， 报社不需要做的是 （） A、加强信息安全意识培训，提高安全防范能力，了解各种社会工程学攻击方法，防止受到此 类攻击B、建立相应的安全相应应对措施，当员工受到社会工程学的攻击，应当及时报告 C、教育员工