备考2024重庆市注册信息安全专业人员试题及答案六.docx

备考2024重庆市注册信息安全专业人员精选试题及答案六一单选题(共100题)1、IS指导委员会应当() A. 包括来自不同部门和员工级别的成员 B. 确保IS安全政策和流程已经被恰当地执行了 C. 有正式的引用条款和保管会议纪要 D. 由供应商在每次会议上简单介绍新趋势和产品 试题答案:C 2、金融机构最近开发并安装了新的保证金制度，与他们的客户网站和其自动柜员机(ATM)接)口，开发团队和连续性业务团队维护良好的沟通，来更新包括新系统的连续性业务计划(BCP下列什么是在这个时间点上合适的BCP测试,() A. 用实际资源来模拟系统崩溃 B. 详细的贯穿整个计划的测试 C. 网站接口应用程序渗透测试 D. 在备份站点实施一次故障转移 试题答案:A 3、IP和MAC绑定的方法，可以限制IP地址被盗用，已在规则中正确的设置了IP和MAC绑定，发现没有起作用，用户之间还是可以盗用IP地址，最有可能的原因是:() A. 被绑定的计算机和防火墙接口之间有3层设备 B. 被绑定的计算机和防火墙接口之间有2层设备 C. 被绑定的计算机和防火墙接口之间没有3层设备 D. 被绑定的计算机和防火墙接口之间在同一个广播域 试题答案:D 4、对PPDR模型的解释错误的是() A. 该模型提出安全策略为核心，防护、检测和恢复组成一个完整的、动态的循环 B. 该模型的一个重要贡献是加速了时间因素，而且对如何实现系统安全和评价安全状态给出了可操作的描述 C. 该模型提出的公式1:Pt>Dt+rt，代表防护时间大于检测时间加响应时间 D. 该模型提出的公式2:Et=Dt+rt，代表当防护时间为0时，系统的暴露时间等于检测时间加响应时间 试题答案:B 5、哪一类防火墙具有根据传输信息的内容(如关键字、文件类)来控制访问连接的能力,() A. 包过滤防火墙 B. 状态检测防火墙 C. 应用网关防火墙 D. 以上都不是 试题答案:C 6、采用第四代语言(4gls)相比使用传统语言应该更加慎重，因为第四代语言有可能()。

A. 缺少对数据进行深入操作的底层必需的细节命令 B. 不能在主机系统和微型计算机上都执行 C. 包括复杂的必需由有经验用户使用的语言子集 D. 不能访问数据库记录并产生复杂的结果 试题答案:A 7、在服务外包的情况下，下面哪个选项是最重要的，由IS管理层执行的功能,() A. 保证发票已付款给提供商 B. 和提供商一起参与系统设计 C. 与提供商洽谈费用 D. 监控外包提供商的性能 试题答案:D 8、以下哪项可确保通过互联网发送的信息的机密性,() A. 数字签名 B. 数字认证 C. 联机认证状态协议(OCSP) D. 私钥加密系统 试题答案:D 9、以下哪项在员工离职流程不正确() A. 公司遵守人力资源员工离职流程 B. 离职员工拥有的公司财产必须被归还 C. 离职员工必须被允许从其计算机中复制个人文件 D. 在审计日志中检查离职员工帐户最近的活动历史 试题答案:C 10、黑客造成的主要危害是() A. 破坏系统、窃取信息及伪造信息 B. 攻击系统、获取信息及假冒信息 C. 进入系统、损毁信息及谣传信息 D. 进入系统，获取信息及伪造信息 试题答案:A 11、在识别出一个应当报告的发现之后，被审计机构立即采取了纠正措施。

审计师应当:() A. 这一发现应当记录在最终报告中，因为审计师负责对所有调查结果的准确报告 B. 不在最终报告中记录，因为审计报告只包括尚未纠正的发现 C. 不在最终报告中记录，因为在审计过程中，审计师可以验证纠正措施 D. 在离场会议上，将发现的情况仅作讨论目的 试题答案:A 12、下面哪个协议在TCP/IP协议的低层起作用() A. SSL B. SKIP C. S-HTTP D. S-PPC 试题答案:B 13、在什么时候对于财务会计应用系统的授权逻辑访问过程中的错误最有可能被识别,() A. 信息系统审计期间 B. 在执行身份管理方案之后 C. 在会计对账过程中 D. 在由业务所有者的定期访问检查中 试题答案:D 14、以下哪个入侵检测技术能检测到未知的攻击行为,() A. 基于误用的检测技术 B. 基于异常的检测技术 C. 基于日志分析的技术 D. 基于漏洞机理研究的技术 试题答案:B 15、以下哪一种数据告缺方式可以保证最高的RPO要求,() A. 同步复制 B. 异步复制 C. 定点拷贝复制 D. 基于磁盘的复制 试题答案:A 16、有关信息系统的设计、开发、实施、运行和维护过程中的安全问题，以下描述错误的是()。

A. 信息系统的开发设计，应该越早考虑系统的安全需求越好 B. 信息系统的设计、开发、实施、运行和维护过程中的安全问题，不仅仅要考虑提供一个安全的开发环境，同时还要考虑开发出安全的系统 C. 信息系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理 D. 运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险 试题答案:C 17、选择审计规程时，IS审计师应该用专业判断确保,() A. 收集充分的证据 B. 在合理的时期收集所有被识别出的重要缺失 C. 识别出所有的实质性不足 D. 审计费用保持在最低水平 试题答案:A 18、IS审计师审查组织图主要是为了() A. 理解工作流程 B. 调查各种沟通渠道 C. 理解个人的责任和权利 D. 调查员工之间不同的联系渠道 试题答案:C 19、审计轨迹的主要目的是() A. 改善用户响应时间 B. 确定交易过程的责任和权利 C. 提高系统的运行效率 D. 为审计人员追踪交易提供有用的资料 试题答案:B 20、对信息系统审计师来说，以下哪项通常是最为可靠的证据,() A. 从第三方收到的确认信函来验证账户的余额 B. 从职能经理那里得到应用系统设计的运行保证 C. 从互联网上得到的趋势数据 D. 审计师依据经理提供的报表所进行的比率分析 试题答案:A 21、当备份一个应用程序系统的数据时，以下哪一项是应该首先考虑的关键性问题,() A. 什么时候进行备份 B. 在哪里进行备份 C. 怎样存储备份 D. 需要备份哪些数据 试题答案:D 22、下面哪一项表示了信息不被非法篡改的属性,() A. 可生存性 B. 完整性 C. 准确性 D. 参考完整性 试题答案:B 23、一个组织在广泛地地理区域有一定数量的分支机构。

在成本效益的原则下，为了确保灾难恢复计划的所有方面都评估到，一个IS审计师应该建议使用以下哪项,() A. 数据恢复测试 B. 全盘测试 C. 后续测试 D. 准备测试 试题答案:D 24、IP欺骗(IP Spoof)是利用TCP/IP协议中()的漏洞进行攻击的 A. 对源IP地址的鉴别方式 B. 结束会话时的四次握手过程 C. IP协议寻址机制 D. TCP寻址机制 试题答案:A 25、一项检查传输错误的控制需要在传输的每一段数据后面增加计算位，被称为() A. 合理检查 B. 奇偶校验 C. 冗余校验 D. 核对数字 试题答案:C 26、IS审计师审查项目，主要是质量问题，应该用项目管理的三角解释() A. 提高质量是可以实现的，即使是资源配置减少 B. 只有资源配置增加才能提高质量 C. 即使资源配置减少，也可以减少交付时间 D. 只有质量降低，才能达到减少交付时间的目标 试题答案:C 27、安全标志和访问控制策略是由下面哪一个访问控制制度所支持的,() A. 基于身份的制度 B. 基于身份认证的制度 C. 用户指导制度 D. 强制访问控制制度 试题答案:D 28、下列哪些措施，不是有效的缓冲区溢出的防护措施,() A. 使用标准的C语言字符串库进行操作 B. 严格验证输入字符串长度 C. 过滤不合规则的字符 D. 使用第三方安全的字符串库操作 试题答案:A 29、OSI开放系统互联安全体系构架中的安全服务分为鉴别服务、访问控制、机密性服务、完整服务、抗抵赖服务，其中机密性服务描述正确的是()。

A. 包括原发方抗抵赖和接受方抗抵赖 B. 包括连接机密性、无连接机密性、选择字段机密性和业务流保密 C. 包括对等实体鉴别和数据源鉴别 D. 包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性 试题答案:B 30、以下谁具有批准应急响应计划的权利,() A. 应急委员会 B. 各部门 C. 管理层 D. 外部专家 试题答案:C 31、使用非屏蔽双绞线(UTP)电缆进行数据通信相比于其他铜质电缆的好处之一是，UTP电缆() A. 减少双绞线之间的串扰 B. 提供线路窃听防护 C. 可用于长距离网路 D. 安装简单 试题答案:A 32、以下哪些不是可能存在的弱点问题,() A. 保安工作不得力 B. 应用系统存在Bug C. 内部人员故意泄密 D. 物理隔离不足 试题答案:C 33、一个金融服务机构正在制定和记录业务连续性的措施在下列情况下信息系统审计师最可能提出的一个问题是,() A. 组织使用的做法并不是使用准则和依赖外部顾问的最佳实践 B. 业务连续性计划是围绕着精心挑选的场景，某个可能发生的事件来进行的 C. 恢复时间目标(RTO)没有考虑灾难恢复的限制，如:恢复时段的人员或系统依赖性 D. 该组织计划租一个共享的紧急备用站点的工作场所、只具备为正常的工作人员一半使用的空间 试题答案:B 34、下面哪一项不是通过IDS模型的组成部分,() A. 传感器 B. 过滤器 C. 分析器 D. 管理器 试题答案:D 35、在审查一个分布式多用户应用系统时，信息系统审计师发现了三方面的一些小缺陷:参数的初始设置配置不正确，使用了弱密码，一些重要的报告没有给恰当的检查。

在准备审计报告时，信息系统审计师将:() A. 分别记录各个审计发现，以及针对每种审计发现所产生的影响 B. 向管理者建议可能存在的风险，但不记录相关的审计发现，因为这些控制缺陷是次要的 C. 记录审计发现以及这些控制缺陷聚合所产生的风险 D. 通报部门主管对每个审计发现进行关注，并在报告中进行适当记录 试题答案:C 36、针对威胁、风险或损失，以下哪一类。