CISP练习题整理218道
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 所有以上选项答案:D2. 在信息安全领域中,以下哪项不属于常见的安全威胁类型?()。
A. 恶意软件B. 自然灾害C. 未经授权访问D. 拒绝服务攻击答案:B3. 风险评估的目的是()。
A. 评估组织的财务状况B. 确定信息资产的价值C. 识别和评估潜在的安全风险D. 增加市场份额答案:C4. 以下哪项是信息安全管理的最佳实践?()。
A. 仅依赖技术解决方案B. 忽略员工的安全意识培训C. 定期进行安全审计和评估D. 仅在发生安全事件后才采取行动答案:C5. CISP认证考试中,关于数据保密性的正确理解是()。
A. 确保数据只能被授权用户访问B. 确保数据的完整性C. 确保数据的可用性D. 确保数据的不可否认性答案:A二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持有者在信息安全领域具有专业知识和技能。
答案:国际信息系统安全认证联盟(ISC)²2. 在信息安全中,________是一种通过隐藏信息内容来保护数据不被未授权者理解的方法。
答案:加密3. 为了防止网络攻击,组织应该实施________策略,以确保所有用户和设备都符合安全标准。
答案:安全访问控制4. 信息安全事件响应计划的主要目的是________,减少安全事件对组织的影响。
答案:快速识别和响应安全事件5. 社会工程攻击利用的是人的________,通过欺骗手段获取敏感信息或访问权限。
答案:心理弱点三、简答题1. 描述信息安全管理的三个关键组成部分。
答:信息安全管理的三个关键组成部分包括策略制定,即制定明确的安全目标和规则;实施控制措施,包括技术和程序控制以降低风险;以及持续监控和审计,确保安全措施的有效性并进行必要的调整。
2. 解释什么是渗透测试以及它在信息安全中的作用。
CISP题库含答案(复核整理版)
中国信息安全测评中心CISP认证模拟试题中电运行信息安全网络技术测评中心编辑1.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?A.提高信息技术产品的国产化率B.保证信息安全资金投入C.加快信息安全人才培养D.重视信息安全应急处理工作2.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?A.强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程B.强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标C.以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心D.通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征3.以下关于信息系统安全保障是主观和客观的结合说法最准确的是:A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全B.通过技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C.是一种通过客观证据向信息系统评估者提供主观信心的活动D.是主观和客观综合评估的结果4.与PDR模型相比,P2DR模型多了哪一个环节?A.防护B.检测C.反应D.策略5.在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于_______。
A.明文B.密文C.密钥D.信道6.通过对称密码算法进行安全消息传输的必要条件是:A.在安全的传输信道上进行通信B.通讯双方通过某种方式,安全且秘密地共享密钥C.通讯双方使用不公开的加密算法D.通讯双方将传输的信息夹杂在无用信息中传输并提取7.以下关于代替密码的说法正确的是:A.明文根据密钥被不同的密文字母代替B.明文字母不变,仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作移位8.AES在抵抗差分密码分析及线性密码分析的能力比DES更有效,已经替代DES成为新的数据加密标准。
cisp考试题
cisp考试题一、选择题1. CISP(注册信息安全专业人员)认证是由哪个组织机构颁发的?A. 国际信息系统审计与控制协会(ISACA)B. 国际信息安全认证联盟(CISSP)C. 国际标准化组织(ISO)D. 国家信息安全认证中心(NISCC)2. 在信息安全管理中,以下哪项不是ISO 27001标准的核心组成部分?A. 风险评估B. 安全策略C. 业务连续性计划D. 系统开发生命周期3. 以下关于密码学的说法,哪一项是错误的?A. 对称加密算法使用相同的密钥进行加密和解密。
B. 非对称加密算法使用不同的密钥进行加密和解密。
C. 哈希函数是可逆的。
D. 数字签名用于验证数据的完整性和来源。
4. 在网络安全中,防火墙的主要作用是什么?A. 阻止未授权的网络访问B. 加速网络通信C. 记录网络活动日志D. 以上都是5. 以下哪个协议不是用于网络层的安全协议?A. IPsecB. TLSC. SSHD. ESP二、填空题1. CISP认证的全称是__________,它旨在证明持有者在信息安全领域具有__________的知识和技能。
2. 在信息安全管理体系中,__________是一种用于识别、评估和管理风险的过程,以确保组织的信息资产得到适当的保护。
3. 密码学中的__________是指通过数学方法来保证信息的安全性,包括加密、解密和认证等过程。
4. 网络防火墙可以基于__________规则来控制数据包的传输,从而防止恶意流量进入内部网络。
5. 业务连续性计划的主要目的是在发生灾难或中断事件时,确保组织能够__________地恢复关键业务功能。
三、简答题1. 请简述信息安全管理的五大核心领域,并举例说明每个领域的关键活动。
2. 描述ISO 27001标准中的信息安全风险评估过程,并说明其重要性。
3. 阐述密码学在电子商务中的应用,并说明其如何帮助保护交易的安全性。
4. 讨论网络防火墙的局限性,并提出可能的解决方案或替代技术。
CISP整理试题及标准答案
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A.ﻩ操作系统B.网络C.ﻩ数据库D.应用程序系统答案:A2.下述攻击手段中不属于DOS攻击的是:()A.ﻩSmurf攻击B.ﻩLand攻击C. Teardrop攻击D.CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A.ﻩ“普密”、“商密”两个级别B.“低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D.ﻩ“一密”、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A.ﻩ集成测试、单元测试、系统测试、验收测试B.ﻩ单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D.ﻩ单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A.ﻩ一楼B.ﻩ地下室C. 顶楼D.ﻩ除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A.ﻩ测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B.ﻩ认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C.ﻩ对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D.ﻩ通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A.ﻩ系统管理员B.ﻩ律师C.ﻩ恢复协调员D.ﻩ硬件和软件厂商答案:B。
8.下面的哪种组合都属于多边安全模型?A.ﻩTCSEC和Bell-LaPadulaB.Chinese Wall和BMAC. TCSEC 和Clark-WilsonD. Chinese Wall 和Biba答案:B。
cisp试题及答案(515多题整理版)
cisp试题及答案(515多题整理版) cisp试题及答案(515多题整理版)1. 以下哪项不是CISP的组成部分?A. 信息安全政策B. 信息安全组织C. 信息安全培训D. 信息安全审计答案:D2. CISP的全称是什么?A. Certified Information Systems ProfessionalB. Certified Information Security ProfessionalC. Certified Information Systems Security ProfessionalD. Certified Information System Professional答案:B3. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 5年答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机试C. 口试D. 实操答案:B5. CISP认证的考试语言有哪些?A. 英语B. 中文C. 法语D. 所有选项答案:D6. CISP认证考试的题型是什么?A. 单选题B. 多选题C. 判断题D. 简答题答案:A7. CISP认证考试的总题数是多少?A. 100题B. 200题C. 300题D. 400题答案:C8. CISP认证考试的通过分数是多少?A. 60%B. 70%C. 80%D. 90%答案:C9. CISP认证考试的考试时间是多长?A. 1小时B. 2小时C. 3小时D. 4小时答案:C10. CISP认证考试的报名费用是多少?A. 500美元B. 700美元C. 1000美元D. 1500美元答案:B11. CISP认证考试的考试内容主要涉及哪些方面?A. 信息安全管理B. 信息安全技术C. 信息安全法律D. 所有选项答案:D12. CISP认证考试的考试内容不包括以下哪项?A. 风险评估B. 业务持续性管理C. 信息安全策略D. 数据库管理答案:D13. CISP认证考试的考试内容中,关于信息安全策略的知识点包括哪些?A. 信息安全策略的制定B. 信息安全策略的实施C. 信息安全策略的评估D. 所有选项答案:D14. CISP认证考试的考试内容中,关于风险评估的知识点包括哪些?A. 风险识别B. 风险分析C. 风险处理D. 所有选项答案:D15. CISP认证考试的考试内容中,关于业务持续性管理的知识点包括哪些?A. 业务影响分析B. 灾难恢复计划C. 应急响应计划D. 所有选项答案:D16. CISP认证考试的考试内容中,关于信息安全技术的知识点包括哪些?A. 加密技术B. 防火墙技术C. 入侵检测系统D. 所有选项答案:D17. CISP认证考试的考试内容中,关于信息安全法律的知识点包括哪些?A. 数据保护法B. 计算机犯罪法C. 知识产权法D. 所有选项答案:D18. CISP认证考试的考试内容中,关于信息安全管理的知识点包括哪些?A. 安全管理的框架B. 安全管理的过程C. 安全管理的控制D. 所有选项答案:D19. CISP认证考试的考试内容中,关于信息安全培训的知识点包括哪些?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 所有选项答案:D20. CISP认证考试的考试内容中,关于信息安全审计的知识点包括哪些?A. 审计计划B. 审计程序C. 审计报告D. 所有选项答案:D21. CISP认证考试的考试内容中,关于信息安全组织管理的知识点包括哪些?A. 组织结构B. 组织政策C. 组织文化D. 所有选项答案:D22. CISP认证考试的考试内容中,关于信息安全培训的知识点不包括以下哪项?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 培训课程设计答案:D23. CISP认证考试的考试内容中,关于信息安全审计的知识点不。
cisp考试辅导模拟试题
cisp考试辅导模拟试题一、单选题(每题1分,共20分)1. CISP(Certified Information Systems Security Professional)是由哪个组织颁发的?A. ISACAB. (ISC)²C. CompTIAD. EC-Council2. CISP考试的总分是多少?A. 500B. 700C. 800D. 10003. CISP考试的合格标准是多少分?A. 450B. 550C. 650D. 7504. 以下哪项不是CISP考试的科目?A. 信息安全政策和程序B. 资产保护C. 风险评估D. 网络编程5. CISP考试中,关于信息系统安全控制的哪个方面不包括?A. 访问控制B. 信息分类C. 系统审计D. 数据加密6. CISP考试中,关于业务连续性管理的哪个方面是重点?A. 灾难恢复计划B. 业务影响分析C. 风险评估D. 所有选项都是重点7. CISP考试中,关于合规性和法律要求的哪个方面不涉及?A. 法律法规B. 合规性审计C. 信息安全政策D. 技术标准8. CISP考试中,关于安全评估和测试的哪个方面不包括?A. 漏洞扫描B. 渗透测试C. 安全控制评估D. 系统开发生命周期9. CISP考试中,关于信息安全事件管理的哪个方面不涉及?A. 事件识别B. 事件响应C. 事件恢复D. 事件预防10. CISP考试中,关于信息安全管理的哪个方面不包括?A. 人员安全B. 物理安全C. 技术安全D. 业务流程管理二、多选题(每题2分,共20分)11. CISP考试中,信息安全政策和程序应包括哪些方面?A. 信息分类B. 访问控制C. 信息处理D. 信息传输12. 在CISP考试中,风险评估应包括哪些步骤?A. 风险识别B. 风险分析C. 风险评估D. 风险处理13. CISP考试中,业务连续性管理应包括哪些方面?A. 业务影响分析B. 灾难恢复计划C. 应急响应计划D. 业务连续性测试14. 在CISP考试中,合规性和法律要求应包括哪些方面?A. 法律法规B. 合规性审计C. 信息安全政策D. 技术标准15. CISP考试中,安全评估和测试应包括哪些方面?A. 漏洞扫描B. 渗透测试C. 安全控制评估D. 系统开发生命周期三、简答题(每题5分,共30分)16. 简述CISP考试的目的和重要性。
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 降低企业运营成本答案:B2. 在信息安全管理中,风险评估的目的是()。
A. 识别潜在的威胁B. 确定安全措施的成本C. 制定安全策略D. 所有以上选项答案:D3. CISP认证考试中,关于数据加密的说法正确的是()。
A. 对称加密算法比非对称加密算法更安全B. 非对称加密算法需要两个密钥C. 哈希函数是可逆的D. 量子加密是目前最安全的加密方式答案:B4. 以下哪项不属于信息安全管理的基本原则?()。
A. 保密性B. 完整性C. 可用性D. 可追溯性答案:D5. CISP认证考试中,关于网络安全的说法正确的是()。
A. 防火墙可以防止所有类型的网络攻击B. VPN提供了数据传输过程中的加密C. 入侵检测系统可以防止入侵行为的发生D. 网络隔离可以完全避免网络攻击答案:B二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持证人在信息安全领域具有专业知识和技能。
答案:(ISC)²2. 在信息安全领域中,________是一种通过隐藏信息内容来保护数据不被未授权访问的技术。
答案:加密3. 为了确保信息的完整性,通常会使用________技术来验证数据在传输或存储过程中是否被篡改。
答案:哈希函数4. 信息安全管理体系(ISMS)的国际标准是ISO/IEC 27001,它包括了一套用于________的准则和规定。
答案:管理信息安全5. 社会工程学是一种利用人的________来获取敏感信息或未授权访问系统的方法。
答案:心理和行为特点三、简答题1. 简述信息安全的重要性。
答案:信息安全对于保护个人隐私、企业商业秘密、国家安全等方面至关重要。
它可以有效防止数据泄露、网络攻击、身份盗窃等风险,确保信息的保密性、完整性和可用性。
cisp试题及答案
cisp试题及答案CISP试题及答案一、选择题(每题1分,共10分)1. 以下哪项不是CISP的认证目标?A. 提升个人网络安全技能B. 增强组织的信息安全防护能力C. 降低网络攻击的风险D. 提高个人编程能力答案:D2. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 终身有效答案:C3. 以下哪个不是CISP考试的科目?A. 信息安全基础B. 网络安全C. 软件开发D. 风险管理答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机考C. 面试D. 现场操作答案:B5. CISP认证的考试语言是?A. 英语B. 中文C. 法语D. 德语答案:A6. 以下哪项不是CISP认证的考试内容?A. 法律、法规和合规性B. 业务连续性管理C. 网络设备配置D. 信息安全管理答案:C7. CISP认证适合哪些人员?A. IT管理人员B. 网络安全专家C. 软件开发人员D. 所有以上答案:D8. CISP认证的考试通过标准是什么?A. 60%正确率B. 70%正确率C. 80%正确率D. 100%正确率答案:B9. CISP认证的考试费用是多少?A. 1000元B. 2000元C. 3000元D. 4000元答案:C10. CISP认证的考试时长是多少?A. 1小时B. 2小时C. 3小时D. 4小时答案:C二、简答题(每题5分,共20分)1. 简述CISP认证的重要性。
答案:CISP认证对于个人而言,是专业能力的认可,有助于职业发展和技能提升。
对于组织而言,拥有CISP认证的员工可以增强组织的信息安全防护能力,降低信息安全风险。
2. 描述CISP认证的考试流程。
答案:CISP认证考试流程通常包括注册、备考、参加考试、成绩公布和认证证书的颁发。
考生需要在指定的考试中心完成机考,考试合格后,将获得认证证书。
3. 解释CISP认证的继续教育要求。
答案:CISP认证持有者需要每两年完成一定的继续教育学分,以保持认证的有效性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.关于微软的SDL 原则,弃用不安全的函数属于哪个阶段?()A、规划B、设计C、实现D、测试答案:C2.优秀源代码审核工具具有哪些特点()①安全性②多平台性③可扩展性④知识性⑤集成性A.①②③④⑤B.②③④C.①②③④D.②③答案:A3. 信息安全风险管理过程的模型如图所示。
按照流程,请问,信息安全风险管理包括()六个方面的内容。
( )是信息安全风险管理的四个基本步骤,( )则贯穿于这四个基本步骤中。
A.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和批准监督;监控审查和沟通咨询B.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和监控审查;批准监督和沟通咨询C.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和沟通咨询;监控审查和批准监督D.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、监控审查和批准监督;风险处理和沟通咨询答案:A4.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程,下列选项中不属于风险评估要素的是()。
A.资产B.跪弱性C.威胁D.安全需求答案:D5.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法,他们在讨论中就应该采用自主访问控制还是强制访问控创产生了分歧。
小本认为应该采用自主访问控制的方法,他的观点主要有;(1)自主访向控制方式,可为用户提供灵活、可调整的安全策略,合法用户可以修改任一文件的存取控制信息;(2)自主访问控制可以抵御木马程序的攻击。
小刘认为应该采用强制访问控制的方法,他的观点主要有;(3)强制访问控制中,只有文件的拥有者可以修改文件的安全属性,因此安全性较高;(4)强制访问控制能够保护敏感信息。
以上四个观点中,只有一个观点是正确的,它是( ).A.观点(1)B.观点(2)C.观点(3)D.观点(4)答案:D6.基于对()的信任,当一个请求成命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的(),在()中,攻击者伪装成“公安部门”人员,要求受害者转账到所谓“安全账户”就是利用了受害者对权威的信任。
在()中,攻击者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者执行操作,例如伪装成系统管理员,告诉用户请求配合进行一次系统测试,要求()等。
A 权威;执行;电信诈骗;网络攻击;更改密码B 权威;执行;网络攻击;电信诈骗;更改密码C 执行;权威;电信诈骗;网络攻击;更改密码D 执行;权威;网络攻击;电信诈骗;更改密码答案:A7.软件开发模型是指软件开发全部过程、活动和任务的结构框架,最早出现的软件开发模型是1970 年W Royce 提出的瀑布模型。
常见模型的模型有演化模型、螺旋模型、喷泉模型、智能模型等。
下列软件开发模型中,支持需求不明确,特别是大型软件系统的开发,并支持多软件开发的方法的模型是()A 原型模型B.瀑布模型C.喷泉模型D.螺旋模型答案:D8.物理安全是一个非常关键的领域,包括环境安全、设施安全与传输安全。
其中,信息系统的设施作为直接存储、处理数据的载体,其安全性对信息系统至关重要。
下列选项中,对让施安全的保障措施的描述正确的是()A.安全区域不仅包含物理区城,还包含信息系统等软件区域B.建立安全区城需要建立安全屏蔽及访问控制机制C.由于传统门锁容易被破解,因此禁止采用门锁的方式进行边界防护D.闭路电视监控系统的前端设备包括摄像机、数字式控制录像设备,后端设备包括中央控制设备、监视器等答案:B9. 对于信息安全风险评估,下列选项中正确的是()A.风险评估只需要实施一次就可以B.风险评估应该根据变化了的情况定期或不定期的适时地进行C.风险评估不需要形成文件化评估结果报告D.风险评估仅对网络做定期的扫描就行答案:B10.下列选项中,与面向构件提供者的构件测试目标无关的是().A.检查为特定项目而创建的新构件的质量B.检查在特定平台和操作环境中构件的复用、打包和部署C.尽可能多地揭示构件错误D.验证构件的功能、接口、行为和性能答案:A11.小王学习了灾难备份的有关知识,了解到常用的数据备份方式包括完全备份、增量备份、差量备份,为了巩固所学知识,小王对这三种备份方式进行对比,其中在数据恢复速度方面三种备份方式由快到慢的顺序是()A.完全备份、增量备份、差量备份B.完全备份、差量备份、增量备份C.增量备份、差量备份、完全备份D 差量备份、增量备份、完全备份答案:B12.在极限测试过程中,贯穿始终的是(),A.单元测试和集成测试B.单元测试和系统测试C.集成测试和验收制试D.集成测试和系统测试答案:C13.在国家标准CB/T20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面?()A.保障要素、生命周期和运行维护B.保障要素、生命周期和安全特征C.规划组织、生命周期和安全特征D.规划组织、生命周期和运行维护答案:B14.以下哪些不是《国家网絡空间安全战略》中阐述的我国网络空间当前任务?A.捍卫网络空间主权B.保护关键信息基础设施C.提升网络空间防护能力D.阻断与国外网络连接答案:D15.在信息安全保障工作中,人才是非常重要的因素,近年来,我国一直高度重视我国信息安全人才队伍的培养和建设。
在以下关于我国关于人才培养工作的描述中,错误的是()。
A.在《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27 号)中,针对信息安全人才建设与培养工作提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神B.2015 年,为加快网络空间安全高层次人才培养,经报国务院学位委员会批准,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,这对于我国网络信息安全人才成体系化、规模化、系统化培养起到积极的推动作用C.经过十余年的发展,我国信息安全人才培养已经成熟和体系化,每年培养的信息安全从业人员的数量较多,基本能同社会实际需求相匹配;同时,高校信息安全专业毕业人才的综合能力要求高、知识更全面,因而社会化培养应重点放在非安全专业人才培养上D.除正规大学教育外,我国信息安全非学历教育已基本形成了以各种认证为核心,辅以各种职业技能培训的信息安全人才培训体系,包括“注册信息安全专业人员(CISP)”资质认证和一些大型企业的信息安全资质认证答案:C16.王明买了一个新的蓝牙耳机,但王明听说使用蓝牙设备有一定的安全威胁,于是王明找到对蓝牙技术有所了解的王红,希望王红能够给自己点建议,以下哪一条建议不可取()A.在选择使用蓝牙设备时,应考虑设备的技术实现及设置是否举办防止上述安全威胁的能力B.选择使用功能合适的设备而不是功能尽可能多的设备、尽量关闭不使用的服务及功能C.如果蓝牙设备丢失,最好不要做任何操作D.在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现答案:C17.某公司正在进行IT 系统灾难恢复测试,下列问题中哪个最应该引起关注()A.由于有限的测试时间窗,仅仅测试了最必须的系统,其他系统在今年的剩余时间里陆续单独测试B. 在测试的过程中,有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间D.每年都是由相同的员工执行此测试,由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难恢复计划(DRP)文档答案:D18. Hadoop 是目前广泛应用的大数据处理分析平台。
在Hadoop1.0.0 版本之前,Hadoop 并不存在安全认证一说。
默认集群内所有的节点都是可靠的,值得信赖的。
用户与服务器进行交互时并不需要进行验证。
导致存在恶意用户伪装成真正的用户或者服务器入侵到Hadoop 集群上,恶意的提交作业,篡改分布式存储的数据,伪装成NameNode 或者TaskTracker 接受任务等。
在Hadoop2.0 中引入了Kerberos 机制来解决用户到服务器的认证问题,Kerberos 的认证过程不包括()A.获得票据许可票据B.获得服务许可票据C.获得密钥分配中心的管理权限D.获得服务答案:C19.信息安全是通过实施一组合适的()而达到的,包括策略、过程、规程、()以及软件和硬件功能。
在必要时需建立、安施、监视、评审和改进包含这些控制措施的()过程,以确保满足该组织的特定安全和(),这个过程宜与其他业务()联合进行。
A.信息安全管理;控制措施;组织结构;业务目标;管理过程B 组织结构;控制措施;信息安全管理;业务目标;管理过程C.控制措施;组织结构;信息安全管理;业务目标;管理过程D 控制措施;组织结构;业务目标;信息安全管理;管理过程答案:C20.了解社会工程学攻击是应对和防御()的关键,对于信息系统的管理人员和用户,都应该了解社会工程学攻击的概念和攻击的()。
组织机构可采取对相关人员实施社会工程学培训来帮助员工了解什么是社会工程学攻击,如何判断是否存在社会工程学攻击,这样才能更好的保护信息系统和().因为如果对攻击方式有所了解,那么识破攻击者的伪装就()。
因此因此组织机构应持续不断的向员工提供安全意识的培训和教育,向员工灌输(),从而降低社会工程学攻击的风险.A.社会工程学攻击;越容易;原理;个人数据;安全意识B.社会工程学攻击;原理;越容易;个人数据;安全意识C.原理;社会工程学政击;个人数据;越容易;安全意识D.社会工程学攻击;原理;个人数据;越容易;安全意识答案:D21.某IT 公司针对信息安全事件已经建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出了四个总结,其中有一项总结工作是错误,作为企业的CSO,请你指出存在问题的是哪个总结?A.公司自身拥有优秀的技术人员,系统也是自己开发的,无需进行应急演练工作,因此今年的仅制定了应急演练相关流程及文档,为了不影响业务,应急演练工作不举行B.公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急顾案五个阶段,流程完善可用C.公司应急预案包括了基础环境类、业务系统类、安全事件类和其他类,基本覆盖了各类应急事件类型D.公司应急预案对事件分类依据GB/Z20986-2007 《信息安全技术信息安全事件分类分级指南》,分为7 个基本类别,预案符合国家相关标准答案:A22.强制访同控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性要求较高的系统。