2023年度山东省注册信息安全专业人员能力检测试卷B卷附答案.docx

2023年度山东省注册信息安全专业人员能力检测试卷B卷附答案一单选题(共100题)1、在开发应用程序时，质量保证测试和用户验收测试被和并在一起IS审计师在审计时最关心的是() A. 加强维修 B. 测试文件不当 C. 性能测试不足 D. 拖延解决问题 试题答案:C 2、以下哪项最有可能是使一个客户数据仓库应该留在内部，而不是被外包出去的原因,() A. 时区差异可能会阻碍IT团队之间的通讯 B. 通讯费用可能远远高于开始的一年 C. 隐私法律可能会阻碍跨境的信息流 D. 软件开发可能需要更多的详细规格 试题答案:C 3、风险评估实施过程中脆弱性识别主要包括什么方面,() A. 软件开发漏洞 B. 网站应用漏洞 C. 主机系统漏洞 D. 技术漏洞与管理漏洞 试题答案:D 4、入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术，它与IDS有着许多不同点，请指出下列哪一项描述不符合IPS的特点,() A. 串接到网络线路中 B. 对异常的进出流量可以直接进行阻断 C. 有可能造成单点故障 D. 不会影响网络性能 试题答案:D 5、VPN为相关企业解决很大问题，哪一项VPN实现不了,() A. 节约成本 B. 保证数据安全性 C. 保证网络安全性 D. 对VPN内数据进行加密 试题答案:C 6、通过社会工程的方法进行非授权访问的风险可以通过以下什么方法避免,() A. 安全意识程序 B. 非对称加密 C. 入侵侦测系统 D. 非军事区 试题答案:A 7、公司实行了新的客户机-服务器模式的企业资源规划系统(ERP)，当地分支机构传递客户订单到中央制造厂。

以下哪种措施确保订单准确地进入并且生产出相应的产品() A. 根据客户订单核实产品 B. 在ERP系统中记录所有客户订单 C. 在订单传输处理中使用杂凑hash总数hashtotal D. 在生产前审批订单 试题答案:A 8、在评估一个计算机硬件安装的项目中，下面哪一项不是你所希望找到的文档化的信息() A. 为建议书和投标准备的定义需求和提交要求的流程 B. 硬件安装如何提高过程吞吐量 C. 基于业务计划和需求的对硬件的功能性需求 D. 设备安装的方位和地点的决策 试题答案:B 9、Chinese Wall模型的设计宗旨是() A. 用户只能访问那些与已经拥有的信息不冲突的信息 B. 用户可以访问所有信息 C. 用户可以访问所有已经选择的信息 D. 用户不可以访问那些没有选择的信息 试题答案:A 10、在一个交易驱动的系统环境中，IS审计人员应审查基原子性以确定() A. 数据库是否能经受失败(硬件或软件) B. 交易之间是否相互隔离 C. 完整性条件是否得到保持 D. 一个交易是否已完成或没有进行或数据库已经修改或没有修改 试题答案:D 11、IS管理层决定要安装第1级冗余阵列磁盘系统在所有服务器上，以补偿异地备份的缺失，IS审计师应建议()。

A. 升级到第5级的RAID B. 增加现场备份的频率 C. 恢复异地备份 D. 在安全的位置建立一个冷站 试题答案:C 12、以下哪一个成为网络管理的重要组成部分被广泛接受() A. 配置管理 B. 拓扑映射 C. 应用监视器 D. 代理服务器发现困难 试题答案:A 13、定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量小王采用该方法来为单位机房计算火灾的风险大小假设单位机房的总价值为200万元人民币,暴露系数( ExposureFactor,EF)是x,年度发生率( Annualized Rate of Occurrence,ARO)为0.1,而小王计算的年度预期损失( Annualized Loss Expectancy,ALE)值为5万元人民币由此,x值应该是() A. 2.5% B. 25% C. 5% D. 50% 试题答案:B 14、关于信息安全管理，下面理解片面的是:() A. 信息安全管理是组织整体管理的重要，固有组成部分，它是组织实现其业务目标的重要保障 B. 信息安全管理是一个不断演进，循环发展的动态过程，不是一成不变的 C. 在信息安全建设中，技术是基础，管理是拔高，即有效的管理依赖于良好的技术基础 D. 坚持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一 试题答案:C 15、入侵检测系统有其技术优越性，但也有其局限性，下列说法错误的是()。

A. 对用户知识要求高，配置、操作和管理使用过于简单，容易遭到攻击 B. 高虚警率，入侵检测系统会产生大量的警告消息和可疑的入侵行为记录，用户处理负担很重 C. 入侵检测系统在应对自身攻击时，对其他数据的检测可能会被抑制或者受到影响 D. 警告消息记录如果不完整，可能无法与入侵行为关联 试题答案:A 16、一个金融服务组织正在开发和撰写业务连续性措施以下各项是IT审计师觉得最可能存在问题的() A. 组织使用最佳实践指导而不是使用行业标准，同时依靠外部咨询以确保措施的充分性 B. 通过仔细选取一系列可能发生的情况来计划业务连续性的能力 C. RTOs并没有考虑IT灾难恢复的限制，比如人员或系统在恢复期间的依赖性 D. 组织计划租用一个用于紧急情况下工作的备份场所，改场所只能容纳目前正常雇员的一半人数 试题答案:B 17、Windows系统下，哪项不是有效进行共享安全的防护措施,() A. 使用netshare//127.0.0.1/c$/delete命令，删除系统中的c$等管理共享，并重启系统 B. 确保所有的共享都有高强度的密码防护 C. 禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值 D. 安装软件防火墙阻止外面对共享目录的连接 试题答案:A 18、软件能力成熟程度模型(CMM)标准中，第一次包括软件开发过程的是哪一级()。

A. 初次(第1级) B. 重复(第2级) C. 定义(第3级) D. 优化(第5级) 试题答案:C 19、以下哪些不是介质类资产,() A. 纸质文档 B. 存储介质 C. 软件介质 D. 凭证 试题答案:A 20、在信息系统安全中，暴露由以下哪两种因素共同构成的,() A. 攻击和脆弱性 B. 威胁和攻击 C. 威胁和脆弱性 D. 威胁和破坏 试题答案:A 21、一个组织的数据中心的成本是10000000美元，实际遭受损失的机率是万分之一数据中心登记在册的价值是5000000美元在零利润现价交易条件下，这个组织需要付给保险公司的最小保险费是多少() A. 1000美元 B. 10000美元 C. 5000美元 D. 500美元 试题答案:A 22、在CMM中哪个层次通过定性度量能力结果() A. 第1级 B. 第2级 C. 第3级 D. 第4级 试题答案:C 23、由于最近的一次经济滑坡，某IT组织已同几名管理员解约并将其所有的IT管理工作都合并到了中央总部进行审计师在一次IT审计中发现，该组织在实施到各个站点的远程管理连接时，使用了低成本数字用户线路(DSL)连接，还使用了基于简单网络管理协议(SNMP)的自动化监控系统。

以下哪项最令人担心,() A. 用于远程管理的身份认证方法可能不足以实现认证的目的 B. 各远程站点的物理安全保障可能不足 C. 已解约的员工可能仍留有访问远程站点中系统的权限 D. 连接到各远程站点时，没有通过虚拟专用网络(VPN)来实现连通性 试题答案:D 24、关于源代码审核，描述正确的是() A. 源代码审核过程遵循信息安全保障技术框架模型，在执行时应一步一步严格执行 B. 源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具 C. 源代码审核如果想要有效率高，则主要要依赖人工审核而不是工具审核，因为人工智能的，需要人的脑袋来判断 D. 源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测试 试题答案:B 25、当建立一个业务持续性计划时，使用下面哪一个工具用来理解组织业务流程,() A. 业务持续性自我评估 B. 资源的恢复分析 C. 风险评估和业务影响评估 D. 差异分析 试题答案:C 26、IT系统恢复互惠协定的现场测试已经进行，其中包括重点使用的业务单元的四小时测试测试已经成功，但只对以下那部分提供了保障:() A. 系统和IT操作团队在紧急环境下可持续的操作 B. 资源和环境可以承受事务负载 C. 连接到远程站点的应用程序满足响应时间的要求 D. 在发生灾难情况下，实际业务操作流程可以使用紧急系统 试题答案:A 27、为提供充分的物理访问补偿性控制，以下哪一项最不适用()。

A. ID身份卡 B. 口令 C. 磁卡 D. 访客登记 试题答案:B 28、对系统安全需求进行评审，以下哪类人不适合参与,() A. 系统分析员 B. 业务代表 C. 安全专家 D. 合规代表 试题答案:A 29、对于特定威胁的整体经营风险的威胁，可以表示如下() A. 一种产品的可能性和影响的重要性，如果威胁暴露了弱点 B. 影响的重要性应该是威胁来源暴露了弱点 C. 威胁来源暴露弱点的可能性 D. 风险评估小组的整体判断 试题答案:A 30、以下哪个不是计算机取证工作的作用,() A. 通过证据查找肇事者 B. 通过证据推断犯罪过程 C. 通过证据判断受害者损失程度 D. 恢复数据降低损失 试题答案:D 31、微型计算机上的软件和数据是否要保存到异地备份站点主要取决于() A. 访问的简便性 B. 风险评估 C. 完备的标签 D. 完备的文档 试题答案:B 32、以下哪一项是图像处理的弱点,() A. 验证签名 B. 改善服务 C. 相对较贵 D. 减少处理导致的变形 试题答案:C 33、安装活动目录时会同时创建DNS的主要区域，区域记录不全会导致目录服务异常，可通过重启Windows的()来重写DNS区域,() A. Server服务 B. NetLogon服务 C. Messenger服务 D. NetworkDDE服务 试题答案:B 34、最有效的防病毒控制是()。

A. 在邮件服务器上扫描e-Mail附件 B. 使用无毒的、清洁的、正版的光盘恢复系统 。