2022年度重庆市注册信息安全专业人员真题附答案.docx

2022年度重庆市注册信息安全专业人员真题精选附答案一单选题(共100题)1、一个IS审计师在审查IT安全风险管理方案，安全风险的措施:() A. 解决网络所有风险 B. 随着时间推移，对IT战略规划跟踪 C. 考虑整个IT环境 D. 导致漏洞公差的鉴定 试题答案:C 2、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一,() A. 提高信息技术产品的国产化率 B. 保证信息安全资金投入 C. 加快信息安全人才培养 D. 重视信息安全应急处理工作 试题答案:A 3、安装活动目录时会同时创建DNS的主要区域，区域记录不全会导致目录服务异常，可通过重启Windows的()来重写DNS区域,() A. Server服务 B. NetLogon服务 C. Messenger服务 D. NetworkDDE服务 试题答案:B 4、有效的IT治理要求组织结构和程序确保() A. 组织的战略和目标包括IT战略 B. 业务战略来自于IT战略 C. IT治理是独立的，与整体治理相区别 D. IT战略扩大了组织的战略和目标 试题答案:D 5、关于SSE-CMM不对的描述是:() A. 1993年4月美国国家安全局资助，有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。

B. SSE的能力级别分为5级 C. SSE-CMM将安全工程划分为三个基本过程:风险、工程和保证 D. SSE的最高能力级别是量化控制 试题答案:D 6、IS审计师审查项目，主要是质量问题，应该用项目管理的三角解释() A. 提高质量是可以实现的，即使是资源配置减少 B. 只有资源配置增加才能提高质量 C. 即使资源配置减少，也可以减少交付时间 D. 只有质量降低，才能达到减少交付时间的目标 试题答案:C 7、以下哪个不是导致地址解析协议(ARP)欺骗的根源之一,() A. ARP协议是一个无状态的协议 B. 为提高效率，ARP信息在系统中会缓存 C. ARP缓存是动态的，可被改写 D. ARP协议是用于寻址的一个重要协议 试题答案:D 8、下面哪一个applet入侵事件暴露了组织的最大风险() A. 程序在客户机上引入病毒 B. Applet记录了键盘操作和密码 C. 下载的代码读取客户机上的数据 D. Applet开放了客户机连接 试题答案:D 9、在确定恢复点目标(RPO)的时候，以下哪项是最需要考虑的,() A. 最低的操作要求 B. 可接受的数据丢失 C. 平均故障间隔时间 D. 可接受的恢复时间 试题答案:B 10、要确保信息的真实性、机密性和完整性，发送者应使用其哪种密钥加密消息的哈希:() A. 公钥，然后使用接收者的私钥对消息进行加密 B. 私钥，然后使用接收者的公钥对消息进行加密 C. 公钥，然后使用接收者的公钥对消息进行加密 D. 私钥，然后使用接收者的私钥对消息进行加密 试题答案:B 11、以下关于符合性管理的描述中错误的是() A. 符合性包括法律法规的符合性和组织安全策略方针的符合性 B. 仅在组织内部使用的信息系统不必考虑来自外部的法律法规的要求 C. 通过信息系统审核检查符合性时，应尽量减少审核对信息系统的影响 D. 符合性管理中应当注意用户个人隐私保护问题 试题答案:B 12、以下哪种形式的证据对审计师来讲最具可靠性,() A. 被审计人员的口头陈述 B. 由外部IS审计师执行的测试结果 C. 内部生成的计算机财务报告 D. 从外部资源发来的确认函 试题答案:B 13、下列哪个是整合性测试(ITF)的优点,() A. ITF使用实际主文件或者替代文件，从而可以使信息系统审计师不用审阅交易的来源 B. 周期性的测试不需要独立的测试过程 C. ITF可以验证应用系统的有效性并且对运行中的操作系统进行测试 D. ITF省去了准备测试数据的麻烦 试题答案:B 14、在业务连续性计划(BCP)中，下面哪个求救目录是最重要的()。

A. 先联系设备供货商和电力、通讯等资源 B. 先联系保险公司 C. 先联系人力中介公司 D. 已排定优先级的联络表(紧急救援表) 试题答案:D 15、以下有关通信与日常操作描述不正确的是() A. 信息系统的变更应该是受控的 B. 企业在岗位设计和人员工作分配时应该遵循职责分离的原则 C. 移动介质使用是一个管理难题，应该采取有效措施，防止信息泄漏 D. 内部安全审计无需遵循独立性、客观性的原则 试题答案:D 16、应该仔细监控打印服务器的离线打印缓存，以确保控制和预防对敏感信息的非授权访问下列哪项是审计师最关注的() A. 部分用户拥有技术授权从打印缓存打印数据即使该用户没有被授权查看数据 B. 部分用户拥有技术授权从打印缓存修改数据即使该用户没有被授权修改数据 C. 部分用户拥有技术授权从打印缓存删除作业即使该用户没有被授权删除作业 D. 部分用户拥有技术授权从打印缓存中断作业即使该用户没有被授权创建、修改、查看打印作业的数据输出 试题答案:A 17、使用闪存(比方说USB可移动盘)最重要的安全考虑是() A. 内容高度不稳定 B. 数据不能备份 C. 数据可以被拷贝 D. 设备可能与其他外设不兼容 试题答案:C 18、针对威胁、风险或损失，以下哪一类控制提供了第一道防线()。

A. 用户ID和口令 B. 软件测试 C. 回拨调制解调器 D. 交易日志 试题答案:A 19、以下对异地备份中心的理解最准确的是() A. 与生产中心不在同一城市 B. 与生产中心距离100公里以上 C. 与生产中心距离200公里以上 D. 与生产中心面临相同区域性风险的机率很小 试题答案:D 20、应急响应哪一个阶段用来降低事件再次发生的风险,() A. 遏制 B. 根除 C. 跟踪 D. 恢复 试题答案:C 21、对于组织来说外包其数据处理业务的可能的优势是() A. 能够获得所需要的外部的专家经验 B. 可以对处理行使更大的控制 C. 可以实施和内部确定处理的优先权 D. 沟通用户需求时，需要更多的用户参与 试题答案:A 22、下面哪种安全代码最难以用遍历的方法来破解() A. 密文 B. 用户口令 C. 锁定口令 D. 口令代码 试题答案:A 23、以下关于UNIX引导过程描述正确的是(),1.开始引导装入程序(bootloader)2.开始其他系统“自发的”进程3.内核初始化并运行内核程序4.运行系统起始脚本 试题答案:B 24、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源。

在评估这样一个软件产品时最重要的标准是什么() A. 要保护什么样的信息, B. 有多少信息要保护, C. 为保护这些重要信息你准备有多大的投入, D. 不保护这些重要信息，你将付出多大的代价, 试题答案:D 25、信息系统审计师发现企业架构(EA)是采取最近当前状态的组织不过，该组织已启动了一个独立的项目开展优化未来状态信息系统审计师应该,() A. 建议单独的项目应尽快完成 B. 在审计报告中作为一个结论来报告这个问题 C. 推荐采用的Zachmann架构 D. 重新审核，把单独项目包括在新的范围内 试题答案:B 26、以下哪一项是进行业务流程重组的第一步() A. 定义要审查的范围 B. 开发项目计划 C. 理解审查的流程 D. 重组和梳理要审查的流程 试题答案:A 27、证明税收计算系统精确性的最好的方法是() A. 对于计算程序源代码详细目测审核和分析 B. 使用通用审计软件对每个月计算的总数进行重复的逻辑计算 C. 为处理流程准备模拟交易，并和预先确定的结果进行比较 D. 自动分析流程图和计算程序的源代码 试题答案:C 28、当一个组织对其网络实施远程虚拟专用网络(VPN)访问时，最普遍存在的安全风险是什么() A. 可能在整个网络中传播恶意代码 B. VPN登录可能受到欺骗 C. 可能嗅探和解密流量 D. 可能损害VPN网关 试题答案:A 29、下面对于cookie的说法错误的是:()。

A. cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息 B. cookie可以存储一些敏感的用户信息，从而造成一定的安全风险 C. 通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗 D. 防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法 试题答案:C 30、系统开发生命周期项目的阶段和交付应该被确定在() A. 在项目的初步规划阶段 B. 在初步规划完成后，在工作开始前 C. 整个工作阶段，基于风险与暴露exposures D. 仅仅在风险被确定，并且IS审计师提出了合适的控制后 试题答案:A 31、下面对PDCA模型的解释不正确的是() A. 通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B. 是一种可以应用于信息安全管理活动持续改进的有效实践方法 C. 也被称为"戴明环" D. 适用于对组织整体活动的优化，不适合单个的过程以及个人 试题答案:D 32、目前对消息摘要算法(MD5)，安全哈希算法(SHA1)的攻击是指() A. 能够构造出两个不同的消息，这两个消息产生了相同的消息摘要 B. 对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要 C. 对于一个已知的消息摘要，能够恢复其原始消息 D. 对于一个已知的消息，能够构造出一个不同的消息摘要，也能通过验证 试题答案:A 33、实施安全程序能够加强下列所有选项，除了:() A. 数据完整性 B. 安全意识教育 C. 数据准确性 D. 保护资产 试题答案:C 34、以下对于蠕虫病毒的描述错误的是()。

A. 蠕虫的传播无需用户操作 B. 蠕虫会消耗内存或网络带宽，导致DOS C. 蠕虫的传播需要通过“宿主”程序或文件 D. 蠕虫程序一般由“传播模块”、“隐藏模块”、“目的功能模块”构成 试题答案:C 35、以下哪项是最可靠的发送者身份认证方法() A. 数字签名 B. 非对称加密 C. 数字认证 D. 消息验证代码 试题答案:C 。