备考2024重庆市注册信息安全专业人员能力提升试卷B卷附答案.docx

备考2024重庆市注册信息安全专业人员能力提升试卷B卷附答案一单选题(共100题)1、审计BCP时，IS审计师发现尽管所有部门都位于同一栋大楼里，各部门还是制定了本部门的BCPIS审计师建议将各BCP协调统一起来，那么，首先要统一的是() A. 疏散和撤离计划 B. 恢复的优先级 C. 备份存储 D. 表 试题答案:A 2、资产管理是信息安全管理的重要内容，而清楚的识别信息系统相关的财产，并编制资产清单是资产管理的重要步骤下面关于资产清单的说法错误的是() A. 资产清单的编制是风险管理的一个重要的先决条件 B. 信息安全管理中所涉及的信息资产，即业务数据、合同协议、培训材料等 C. 在制定资产清单的时候应根据资产的重要性、业务价值和安全分类，确定与资产重要性相对应的保护级别 D. 资产清单中应当包括将资产从灾难中恢复而需要的信息，如资产类型、格式、位置、备份信息、许可信息等 试题答案:B 3、某网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为，当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别。

但入侵检测技术不能实现以下哪种功能() A. 检测并分析用户和系统的活动 B. 核查系统的配置漏洞，评估系统关键资源和数据文件的完整性 C. 防止IP地址欺骗 D. 识别违反安全策略的用户活动 试题答案:C 4、以下哪项机制与数据处理完整性不相关,() A. 数据库事务完整性机制 B. 数据库自动备份复制机制 C. 双机并行处理，并相互验证 D. 加密算法 试题答案:D 5、在一个非屏蔽双绞线(UTP)网络中的一根以太网电缆长于100米这个电缆长度可能引起下列哪一种后果,() A. 电磁干扰 B. 串扰 C. 离散 D. 衰减 试题答案:D 6、对新的应收帐模块实施实质性审计测试时，IS审计师的日程安排非常紧，而且对计算机知识知之不多.那么，下面哪一项审计技术是最佳选择() A. 测试数据 B. 平行模拟(Parallelsimulation) C. 集成测试系统(ITF. D. 嵌放式审计模块(EAM) 试题答案:A 7、在审计章程中记录的审计功能中的责任、权力和经营责任，必须() A. 必须经最高管理层批准 B. 经审计部门管理者批准 C. 经用户部门领导批准 D. 在每年IS审计师大会之前修改 试题答案:A 8、以风险为基础的审计方法，，,审计师应该首先完成()。

A. 固有的风险评估. B. 控制风险评估. C. 控制测试评估. D. 实质性测试评估. 试题答案:A 9、在审查基于WEB的软件开发项目时，IS审计师发现没有强调编码规则，并且没有进行代码审核这有可能增加以下哪种成功的可能性() A. 缓冲溢出 B. 强力攻击 C. 分布式拒绝服务攻击 D. 战争拨号攻击 试题答案:A 10、信息安全事件的分类方法有多种，依据GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》，信息安全事件分为7各基本类别，描述正确的是:() A. 有害程序事件，网络攻击事件，信息破坏事件，信息内容安全事件，设备设施故障，灾害性事件和其他信息安全事件 B. 网络攻击事件，拒绝服务事件，信息破坏事件，信息内容安全事件，设备设施故障，灾害性事件和其他信息安全事件 C. 网络攻击事件，网络钓鱼事件，信息破坏事件，信息内容安全事件，设备设施故障，灾害性事件和其他信息安全事件 D. 网络攻击事件，网络扫描窃听事件，信息破坏事件，信息内容安全事件，设备设施故障，灾害性事件和其他信息安全事件 试题答案:A 11、下面对于X.25协议的说法错误的是() A. 传输速率可达到56Kbps B. 其优点是反复的错误校验颇为费时 C. 其缺点是反复的错误校验颇为费时 D. 由于它与TCP/IP协议相比处于劣势，所以渐渐被后者淘汰 试题答案:C 12、一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一家,() A. 公安部公共信息网络安全监察及其各地相应部门 B. 国家计算机网络与信息安全管理中心 C. 互联网安全协会 D. 信息安全产业商会 试题答案:A 13、IT治理的最终目的是()。

A. 鼓励最优地运用IT B. 降低IT成本 C. 在组织中分散IT资源 D. 集中控制IT 试题答案:A 14、在Windows2000中可以察看开放端口情况的是() A. nbtstat B. net C. netshow D. netstat 试题答案:D 15、常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等下面描述中错误的是() A. 从安全性等级来看，这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型 B. 自主访问控制是一种广泛的应用方法，资源的所有者(往往也是创造者)可以规定谁有权访问它们的资源，具有较好的易用性和可扩展性 C. 强制访问控制模型要求主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体该模型具有一定的抗恶意程序攻击能力，适用于专用或安全性要求较高的系统 D. 基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限，该模型便于实施授权管理和安全约束，容易实现最小特权、职责分离等各种安全策略 试题答案:A 16、将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果，以下哪一项能起上述作用,() A. 批量头格式 B. 批量平衡 C. 数据转换差错纠正 D. 对打印池的访问控制 试题答案:B 17、一个信息系统审计师正在为一个医疗机构的生产和测试两种应用环境进行检查，再一次访谈中，该审计员注意到生产数据被用于测试环境中，以测试程序改变，什么是这种情况下最显著的潜在风险,() A. 测试环境可能没有充足的控制以确保数据精确 B. 测试环境可能由于实用生产数据而产生不精的结果 C. 测试环境的硬件可能与生产环境不同 D. 测试环境可能没有充分的访问控制来确保数据机密性 试题答案:D 18、S公司在全国有20个分支机构，总部有10台服务器、200个用户终端，每个分支机构都有一台服务器、100个左右用户终端，通过专网进行互联互通。

公司招标的网络设计方案中，四家集成商给出了各自的IP地址规划和分配的方法，作为评标专家，请给S公司选出设计最合理的一个() B. 总部使用服务器使用10.0.1.1~11、用户终端使用10.0.1.12~212，分支机构IP地址随意确定即可 C. 总部服务器使用10.0.1.X、用户终端根据部门划分使用10.0.2.X、每个分支机构分配两个A类地址段，一个用做服务器地址段、另外一个做用户终端地址段 D. 因为通过互联网连接，访问的是互联网地址，内部地址经NAT映射，因此IP地址无需特别规划，各机构自行决定即可 试题答案:C 19、下面有关我国标准化管理和组织机构的说法错误的是,() A. 国家标准化管理委员会是统一管理全国标准化工作的主管机构 B. 国家标准化技术委员会承担着国家标准的制定和修改巩工作 C. 全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布 D. 全国信息安全标准化技术委员负责统一协调信息安全国家标准年度计划项目 试题答案:C 20、拒绝服务攻击导致的危害中，以下哪个说法是不正确的() A. 网络带宽被耗尽，网络被堵塞，无法访问网络 B. 主机资源被耗尽，主机无法响应请求 C. 应用资源被耗尽，应用无法响应请求 D. 应用系统被破坏，应用无法响应请求 试题答案:D 21、在审计新软件项目时，项目小组目前在定义用户需求，把建议的解决方案和用户需求匹配目前处于SDLC的哪个阶段()。

A. 可行性研究 B. 需求 C. 设计 D. 开发 试题答案:B 22、以下哪一项是业务流程再造项目的第一步() A. 界定检查范围 B. 开发项目计划 C. 了解所检查的流程 D. 所检查流程的重组和简化 试题答案:A 23、年度损失值(ALE)的计算方法是什么,() A. ALE=ARO*AV B. ALE=AV*SLE C. “ALE=ARO*SLE” D. ALE=AV*EF 试题答案:C 24、下列哪些工具或系统可以确认信用卡交易很可能是由被窃取的信用卡而不是真正的持卡人() A. 入侵侦测系统 B. 数据挖掘技术 C. 防火墙 D. 包过滤路由器 试题答案:B 25、审计计划阶段，最重要的一步是确定() A. 高风险领域 B. 审计人员的技能 C. 审计测试步骤 D. 审计时间 试题答案:A 26、下面哪一项是IS审计师在进行PBX评估时要检查的()I(确信外部免费拨入号码的访问被关掉II(确信语音邮件系统不会被线窃听III(确信维护端口的访问代码的缺省值已改变IV(确信外部免费号码如900被严格限制V(确信超额的使用被红旗标记并进行舞弊调查 A. I，II，III，andIVonly B. II，III，andIVonly C. II，III，IV，andVonly D. I，II，III，IV，andV 试题答案:C 27、下面哪个选项是最好的审计技术可以帮助审计师检查从最后授权程序更新后是不是还有非授权的程序更新,() A. 测试数据运行 B. 代码检查 C. 自动代码对比 D. 代码移植流程审核 试题答案:C 28、下面对于SSE-CMM保证过程的说法错误的是() A. 保证是指安全需求得到满足的可信任程度 B. 信任程度来自于对安全工程过程结果质量的判断 C. 自验证与证实安全的主要手段包括观察、论证、分析和测试 D. PA“建立保证论据”为PA“验证与证实安全"提供了证据支持 试题答案:D 29、以下哪一种模型用来对分级信息的保密性提供保护,() A. Biba模型和Bell-LaPadula模型 B. Bell-LaPadula模型和信息流模型 C. Bell-LaPadula模型和Clark-Wilson模型 D. Clark-Wilson模型和信息流模型 试题答案:B 30、VPN为相关企业解决很大问题，哪一项VPN实现不了,() A. 节约成本 B. 保证数据安全性 C. 保证网络安全性 D. 对VPN内数据进行加密 。