2024年度上海市注册信息安全专业人员能力提升试卷A卷附答案.docx

2024年度上海市注册信息安全专业人员能力提升试卷A卷附答案一单选题(共60题)1、下面对WAPI描述不正确的是() A. 安全机制由WAI和WPI两部分组成 B. WAI实现对用户身份的鉴别 C. WPI实现对传输的数据加密 D. WAI实现对传输的数据加密 试题答案:D 2、热站在何时作为恢复战略实施() A. 灾难的容忍程度低时 B. 恢复点目标(RPO)高时 C. 恢复时间目标(RTO)高时 D. 灾难的容忍程序高时 试题答案:A 3、恶意代码的第一个雏形是(), A. 磁芯大战 B. 爬行者 C. 清除者 D. BRAIN 试题答案:A 4、下列哪一项应被认为是网络管理系统实质性特征,() A. 绘制网络拓扑的图形化界面 B. 与因特网互动解决问题的能力 C. 连接服务台获得解决疑难问题的建议 D. 将数据输出至电子表格的输出设备 试题答案:A 5、IS审计师应建议采取以下哪项措施来保护数据仓库中存储的特定敏感信息,() A. 实施列级和行级权限 B. 通过强密码增强用户身份认证 C. 将数据仓库组织成为特定主题的数据库 D. 记录用户对数据仓库的访问 试题答案:A 6、下面关于访问控制模型的说法不正确的是()。

A. DAC模型中主体对它所属的对象和运行的程序有全部的控制权 B. DAC实现提供了一个基于“need-to-know”的访问授权的方法，默认拒绝任何人的访问访问许可必须被显示地赋予访问者 C. 在MAC这种模型里，管理员管理访问控制管理员制定策略，策略定义了哪个主体能访问哪个对象但用户可以改变它 D. RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体系统进程和普通用户可能有不同的角色设置对象为某个类型，主体具有相应的角色就可以访问它 试题答案:C 7、保留档案是为了保证() A. 不能读数据，直到确定日期 B. 数据在日期之前不会被删除 C. 备份在日期之后不再保留备份 D. 区分名字相同的数据集 试题答案:D 8、其中哪一项应包括在组织的信息安全政策中() A. 要保护的关键IT资源列表 B. 访问授权的基本原则 C. 确定敏感安全特征 D. 相关的软件安全特征 试题答案:B 9、以下哪一种口令方式主要不依靠人的记忆() A. 静态口令 B. 动态口令 C. 认知口令 D. 常规口令 试题答案:C 10、在使用系统工具安全工程能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时，有关测量结果，错误理解的是() A. 如果该组织在执行某个特定的过程区域具备了一个特定级别的部门公共特征时，这个组织过程的能力成熟度未达到级别 B. 如果该组织过个工程区域(Process Areas PA)具备了定义标准过程，执行已定义的过程，两个公共特征，对此工程区域的能力成熟度级别达到3级充分定义级 C. 如果某个区域过程(Prpcess Areas PA)包含的4个基本措施(Base Pracbces，BP)执行此BP时执行了3个BP此过程区域的能力成熟度级别为0 D. 组织在不同的过程区域能力成熟度可能处于不同级别上 试题答案:B 11、在未受保护的通信线路上传输数据和使用弱口令是一种(), A. 弱点 B. 威胁 C. 可能性 D. 影响 试题答案:A 12、从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该()。

A. 内部实现 B. 外部采购实现 C. 合作实现 D. 多来源合作实现 试题答案:A 13、一家组织提出要建立无线局域网(WLAN)管理层要求IS审计师为WLAN推荐安全控制措施以下哪项最适合的建议() A. 保证无线接入点的物理安全，以防篡改 B. 使用能明确识别组织的服务集标识符(SSID) )机制加密流量 C. 使用有线等效加密(WEPD. 实施简单网络管理协议(SNMP)以允许主动监控 试题答案:A 14、下列哪项在评价信息系统战略时最重要() A. 确保信息系统战略最大化目前和未来信息技术资源的效率和利用 B. 确保在所有信息系统中考虑信息安全 C. 确保信息系统战略支持公司愿景和目标 D. 确保系统管理员为系统能力提供准确的输入 试题答案:C 15、哪一类防火墙具有根据传输信息的内容(如关键字、文件类)来控制访问连接的能力,() A. 包过滤防火墙 B. 状态检测防火墙 C. 应用网关防火墙 D. 以上都不是 试题答案:C 16、一种基于信任而产生的并且很难防范的主要风险是() A. 正确使用的授权访问 B. 被滥用的授权访问 C. 不成功的非授权访问 D. 成功的非授权访问 试题答案:B 17、在并行处理环境中最大限度地发挥大型数据库的性能，下面哪一个是用于衡量的指标()。

A. 磁盘分区 B. 镜像 C. hashing D. Duplexing复用 试题答案:C 18、以下哪种信息安全工作实践应用了信息安全保障的核心原理和思想() A. 以ISMS运行为核心，采用技术和管理手段对建设好的系统进行维护 B. 以IATF为基础，涉及包括防毒、入侵检测、加密、审计在内的安全防护体系 C. 以CIA为核心，对计算机网络进行安全加固、检测和评估 D. 在系统生命周期内，以人为本，按照技管并重的原则，通过安全工程过程来构建安全体系 试题答案:D 19、下面哪一项是黑客用来实施DDOS攻击的工具,() A. LC5 B. Rootkit C. Icesword D. Trinoo 试题答案:D 20、以下哪一项是业务流程再造项目的第一步() A. 界定检查范围 B. 开发项目计划 C. 了解所检查的流程 D. 所检查流程的重组和简化 试题答案:A 21、当回顾外包IT服务提供商时，以下哪项为信息系统审计师的主要关注点,() A. 服务提供商成本最小化 B. 禁止供应商转包服务 C. 评估将知识转交给IT部门的流程 D. 确定服务是否和合同相符 试题答案:D 22、在一份热站、温站或冷站协议中，协议条款应包含以下哪一项需考虑的事项,() A. 具体的保证设施 B. 订户的总数 C. 同时允许使用设施的订户数量 D. 涉及的其他用户 试题答案:C 23、基于攻击方式可以将黑客攻击分为主动攻击和被动攻击，以下哪一项不属于主动攻击,() A. 中断 B. 篡改 C. 侦听 D. 伪造 试题答案:C 24、虚拟专用网(VPN)通过以下哪种方式提供数据加密()。

A. SSL(安全套接层协议) B. 隧道模式 C. 数字签名 D. 钓鱼 试题答案:B 25、安全开发制度中，QA最关注的的制度是() A. 系统后评价规定 B. 可行性分析与需求分析规定 C. 安全开发流程的定义、交付物和交付物衡量标准 D. 需求变更规定 试题答案:C 26、职责分离是信息安全管理的一个基本概念，其关键是权力不能过分集中在某一个人手中职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背,() A. 数据安全管理员 B. 数据安全分析员 C. 系统审核员 D. 系统程序员 试题答案:C 27、以下哪项环境控制措施可以在发生短时电力减弱时提供保护,() A. 电路调节器 B. 防浪涌设备 C. 冗余电源 D. 不间断电源 试题答案:A 28、下面的哪一种加密技术可以最大程度地保护无线网络免受中间人攻击() A. 128位有线等效加密(WEP) B. 基于MAC地址的预共享密钥(PSK) C. 随机生成的预共享密钥(PSK) D. 字母和数字组成的服集标识符(SSID. 试题答案:C 29、划分VLAN主要解决什么问题,() A. 隔离广播 B. 解决安全性 C. 隔离故障域 D. 解决带宽问题 试题答案:A 30、S审计师报告指出企业资源计划(ERP)系统的财务模块应用运行很慢，是因为审计痕迹在一些敏感的表格上被激活。

供应商已经要求关闭这些交易表的审计痕迹且限定只对成功和不成功登入系统进行审计如果这个建议被采纳，以下哪个是最大的威胁,() A. 不能保证财务数据的完整性 B. 不能保证系统日志的完整性 C. 访问敏感数据未被记录 D. 可能发生欺诈 试题答案:A 31、下列哪一项不是一种预防性物理控制,() A. 安全警卫 B. 警犬 C. 访问登记表 D. 围栏 试题答案:C 32、以风险为基础的审计方法，，,审计师应该首先完成() A. 固有的风险评估. B. 控制风险评估. C. 控制测试评估. D. 实质性测试评估. 试题答案:A 33、拒绝式服务攻击会影响信息系统的哪个特性,() A. 完整性 B. 可用性 C. 机密性 D. 可控性 试题答案:B 34、下列哪些可以用来核查输出结果和控制总数,通过匹配输入数据和控制总数() A. 批标题表单 B. 批量平衡 C. 数据转换错误更正 D. 对于打印缓存的访问控制 试题答案:B 35、信息技术安全评估通用标准(cc)标准主要包括哪几个部分,() A. 通用评估方法、安全功能要求、安全保证要求 B. 简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南 C. 简介和一般模型、安全功能要求、安全保证要求 D. 简介和一般模型、安全要求、PP和ST产生指南 试题答案:C 36、NAT技术不能实现以下哪个功能() A. 对应用层协议进行代理 B. 隐藏内部地址 C. 增加私有组织的地址空间 D. 解决IP地址不足问题 试题答案:A 37、企业ISMS(信息安全管理体系)建设的原则不包括以下哪个,() A. 管理层足够重视 B. 需要全员参与 C. 不必遵循过程的方法 D. 需要持续改进 试题答案:C 38、电子数据交换过程中，接收并传送电子文件的是()。

A. 通讯处理器 B. EDI转换器 C. 应用接口 D. EDI接口 试题答案:A 39、当需要审计轨迹的时候，以下哪一。