软考-信息安全工程师(汇总1000题)
信息安全工程师软考考试卷子
信息安全工程师软考考试卷子一、选择题(每题3分,共30分)1. 信息安全的基本属性不包括以下哪项?()A. 保密性B. 完整性C. 可用性D. 可变性答案:D。
解析:信息安全的基本属性是保密性、完整性、可用性,可变性不是基本属性。
2. 以下哪种加密算法属于对称加密算法?()A. RSAB. DSAC. AESD. ECC答案:C。
解析:AES是高级加密标准,属于对称加密算法,RSA、DSA、ECC属于非对称加密算法。
3. 在网络安全中,防火墙主要用于()。
A. 防止病毒入侵B. 阻止外部网络访问内部网络C. 提高网络速度D. 管理网络用户答案:B。
解析:防火墙主要是在内部网络和外部网络之间建立一道屏障,阻止外部网络未经授权访问内部网络。
4. 信息安全风险评估的主要目的是什么?()A. 找出系统中的漏洞B. 评估安全措施的有效性C. 确定安全需求D. 以上都是答案:D。
解析:信息安全风险评估可以找出系统漏洞,评估安全措施有效性,从而确定安全需求。
5. 以下哪项不是常见的身份认证方式?()A. 用户名/密码B. 指纹识别C. 语音识别D. 梦境分析答案:D。
解析:梦境分析不是常见的身份认证方式,而用户名/密码、指纹识别、语音识别都是。
6. 数据备份的主要目的是()。
A. 节省存储空间B. 防止数据丢失C. 提高数据传输速度D. 方便数据共享答案:B。
解析:数据备份就是为了在数据丢失或者损坏的情况下能够恢复数据。
7. 以下关于入侵检测系统的说法错误的是()。
A. 可以检测到网络中的入侵行为B. 分为基于主机和基于网络的入侵检测系统C. 能够完全阻止入侵行为D. 是一种主动的安全防护技术答案:C。
解析:入侵检测系统能检测入侵行为,但不能完全阻止。
8. 信息安全管理体系的核心是()。
A. 安全策略B. 安全技术C. 安全人员D. 安全设备答案:A。
解析:安全策略是信息安全管理体系的核心,其他都是围绕安全策略展开的。
2024年软件资格考试信息安全工程师(中级)(基础知识、应用技术)合卷试卷与参考答案
2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识(客观选择题,75题,每题1分,共75分)1、题干:以下关于计算机病毒的说法,正确的是()。
A、计算机病毒是一种生物病毒,可以通过空气传播B、计算机病毒是一种程序,具有自我复制能力,能够破坏计算机系统C、计算机病毒只能通过移动存储设备传播D、计算机病毒不会对计算机硬件造成损害2、题干:以下关于网络安全的基本要素,不属于五要素之一的是()。
A、机密性B、完整性C、可用性D、真实性3、下列哪一项不属于常见的信息安全威胁?A. 拒绝服务攻击B. 物理盗窃C. 软件著作权保护D. 社会工程学攻击4、在信息安全保障体系中,PDR模型指的是哪三个要素?A. 预防、检测、响应B. 预警、防御、恢复C. 计划、部署、审查D. 保护、检测、反应5、下列哪一项不是用于确保数据完整性的措施?A. 校验和B. 数字签名C. 哈希函数D. 对称加密6、在网络安全领域,以下哪种攻击方式属于被动攻击?A. SQL注入B. 拒绝服务攻击C. 网络监听D. 跨站脚本攻击7、题目:在信息安全中,以下哪项不是常见的物理安全措施?A. 安全门禁系统B. 火灾自动报警系统C. 数据备份与恢复D. 网络防火墙8、题目:以下关于信息安全风险评估的说法,错误的是:A. 评估信息安全风险是信息安全管理体系(ISMS)的核心B. 评估信息安全风险可以识别出组织面临的主要安全威胁C. 评估信息安全风险有助于确定安全控制措施D. 评估信息安全风险需要考虑组织内部的业务需求9、在信息安全领域中,PKI(Public Key Infrastructure)主要功能是什么?A. 实现数据加密与解密B. 提供身份认证服务C. 支持安全电子邮件传输D. 上述所有选项 10、下列哪项不属于计算机病毒的传播途径?A. 通过互联网下载文件B. 使用未授权的软件C. 访问受感染的网站D. 定期更新操作系统补丁11、在信息安全领域,以下哪项技术不属于访问控制手段?A. 身份认证B. 访问控制列表(ACL)C. 数据加密D. 防火墙12、以下关于信息安全风险评估的说法中,正确的是:A. 风险评估只是针对已知威胁的评估B. 风险评估应当包括对组织内部和外部风险的识别和评估C. 风险评估的目的是为了完全消除风险D. 风险评估的结果不应当对外公开13、以下哪一项不是信息安全管理的基本原则?A. 保密性B. 完整性C. 可用性D. 不可否认性14、在信息系统安全中,用来保证数据不被未经授权的人所访问的安全措施是:A. 加密B. 防火墙C. 访问控制D. 审计追踪15、以下关于信息安全技术中防火墙的说法,错误的是:A. 防火墙可以阻止未经授权的访问B. 防火墙可以保护内部网络免受外部攻击C. 防火墙无法阻止内部网络之间的攻击D. 防火墙可以限制特定协议或端口的数据传输16、以下关于安全审计的说法,正确的是:A. 安全审计是定期检查网络安全设备B. 安全审计是检查网络中可能存在的安全漏洞C. 安全审计是检查操作系统和应用程序的安全配置D. 安全审计是以上所有说法17、以下关于密码学的描述,错误的是()A. 密码学是研究如何保护信息安全的技术科学B. 密码学主要分为对称密码学和公钥密码学C. 对称密码学使用相同的密钥进行加密和解密D. 公钥密码学使用不同的密钥进行加密和解密18、以下关于安全协议的描述,正确的是()A. 安全协议是指在网络通信过程中,用于保证数据传输安全的协议B. 安全协议的主要目的是防止数据在传输过程中被窃听、篡改和伪造C. 安全协议不涉及身份认证和访问控制D. 安全协议只适用于加密通信19、以下关于密码学中对称加密算法的描述,不正确的是:A. 对称加密算法使用相同的密钥进行加密和解密B. 对称加密算法的速度通常比非对称加密算法快C. 对称加密算法的安全性取决于密钥的长度和保密性D. 对称加密算法可以抵抗量子计算机的攻击 20、在信息安全中,以下哪种措施属于物理安全?A. 数据备份B. 网络防火墙C. 身份认证D. 安全审计21、以下关于ISO/IEC 27001标准说法正确的是:A. ISO/IEC 27001标准是信息安全管理体系(ISMS)的标准,适用于所有组织,无论其规模和类型。
2025年软件资格考试信息安全工程师(中级)(基础知识、应用技术)合卷试卷及答案指导
2025年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)一、基础知识(客观选择题,75题,每题1分,共75分)1、以下哪项不属于信息安全的基本原则?A. 完整性原则B. 保密性原则C. 可用性原则D. 可追溯性原则2、在信息安全风险中,以下哪一项属于内部威胁?A. 黑客攻击B. 系统漏洞C. 内部人员滥用权限D. 自然灾害3、在信息安全中,以下哪个选项不属于常见的威胁类型?A、病毒B、拒绝服务攻击(DoS)C、物理安全D、SQL注入4、以下关于安全协议的描述,不正确的是:A、SSL(安全套接层)用于在客户端和服务器之间建立加密的连接B、TLS(传输层安全)是SSL的升级版,提供了更强的安全性和扩展性C、IPSec(互联网安全协议)主要用于保护IP层的数据包D、SSH(安全外壳协议)用于远程登录和文件传输5、以下关于信息安全事件的分类,哪项是正确的?A. 根据破坏程度分为物理破坏、逻辑破坏和混合破坏B. 根据攻击目标分为数据安全、系统安全和网络安全C. 根据攻击手段分为病毒攻击、恶意软件攻击和人为破坏D. 根据影响范围分为局部性、区域性和国际性6、以下关于密码学的描述,哪项是错误的?A. 密码学是研究保护信息安全的技术和方法的学科B. 加密技术是密码学的主要研究内容之一C. 数字签名技术不属于密码学的范畴D. 密码分析是密码学的一个重要研究方向7、以下哪种加密算法属于对称加密算法?()A. RSAB. AESC. MD5D. SHA-2568、在信息安全中,以下哪个概念与“防火墙”的功能最相似?()A. 入侵检测系统(IDS)B. 安全审计C. 数据备份D. 加密9、在信息安全中,以下哪种加密算法属于对称加密算法?A. RSAB. DESC. MD5D. SHA-256 10、在网络安全中,以下哪个术语指的是在不被第三方察觉的情况下,窃取或篡改数据的行为?A. 钓鱼攻击B. 网络攻击C. 漏洞利用D. 侧信道攻击11、以下哪种加密算法属于非对称加密算法?A. AESB. DESC. RSAD. RC412、在信息安全保障体系中,哪一项措施主要用于防止未经授权的数据修改?A. 访问控制B. 数据加密C. 完整性校验D. 备份与恢复13、题干:在信息安全领域,以下哪种加密算法属于对称加密算法?A. RSAB. DESC. SHA-256D. MD514、题干:以下哪个选项不属于信息安全风险管理的五个阶段?A. 风险识别B. 风险分析C. 风险控制D. 风险评估15、下列哪一项不属于常见的网络安全威胁?A. 物理破坏B. 信息泄露C. 软件升级D. 恶意代码16、在信息安全保障体系中,PDR模型指的是哪三个要素?A. 防护-检测-响应B. 计划-实施-审查C. 加密-解密-验证D. 预防-检测-恢复17、以下哪项不属于信息安全的基本原则?A. 完整性B. 可用性C. 可访问性D. 可控性18、在信息安全风险评估中,以下哪个不是常用的风险评估方法?A. 故障树分析B. 风险矩阵C. 脚本攻击D. 概率分析19、以下哪一项不是保证数据完整性的常用方法?A、使用加密算法B、使用哈希函数C、使用数字签名D、定期备份数据 20、下列关于防火墙的功能描述错误的是?A、防火墙可以阻止未经授权的访问进入内部网络B、防火墙可以检测并阻止某些类型的网络攻击C、防火墙可以完全防止病毒和恶意软件的传播D、防火墙可以记录通过它的信息,用于安全事件分析21、在信息安全领域,以下哪项不属于安全攻击的类型?A. 主动攻击B. 被动攻击C. 非法访问攻击D. 数据备份攻击22、以下哪项措施不属于信息系统的安全策略?A. 访问控制B. 身份认证C. 网络隔离D. 数据加密23、在公钥基础设施(PKI)中,下列哪一项不是证书颁发机构(CA)的主要职责?A. 生成密钥对B. 签发数字证书C. 撤销数字证书D. 验证证书申请者的身份24、以下哪一种攻击方式是通过向目标系统发送大量请求,使其无法处理正常的服务请求,从而导致服务不可用?A. SQL注入攻击B. 跨站脚本(XSS)攻击C. 缓冲区溢出攻击D. 拒绝服务(DoS)攻击25、以下哪种加密算法属于对称加密算法?A. RSAB. DESC. SHA-256D. MD526、在信息安全中,以下哪个术语表示未经授权的访问?A. 窃听B. 拒绝服务攻击C. 窃密D. 未授权访问27、以下关于防火墙的说法正确的是:A. 防火墙可以完全防止内部数据泄露;B. 防火墙可以阻止所有的外部攻击;C. 防火墙可以防止病毒在已感染的系统内传播;D. 防火墙可以根据安全策略控制进出网络的数据流。
2023年中级软考《信息安全工程师》考试历年真题摘选附带答案【2024版】
可编辑修改精选全文完整版2023年中级软考《信息安全工程师》考试历年真题摘选附带答案第1卷一.全考点综合测验(共20题)1.【单选题】属于第二层的VPN 隧道协议是()。
A.IPSecB.PPTPC.GRED.IPv42.【单选题】下列算法中,( )属于摘要算法。
A.DESB.MD5C.Diffie-HellmanD.AES3.【单选题】ISO 制定的安全体系结构描述了5 种安全服务,以下不属于这5 种安全服务的是()A.鉴别服务B.数据报过滤C.访问控制D.数据完整性4.【单选题】以下对OSI(开放系统互联)参考模型中数据链路层的功能叙述中,描述最贴切是()A.保证数据正确的顺序、无差错和完整B.控制报文通过网络的路由选择C.提供用户与网络的接口D.处理信号通过介质的传输5.【单选题】面向身份信息的认证应用中,最常用的认证方法是()A.基于数据库的认证B.基于摘要算法认证C.基于PKI 认证D.基于账户名/ 口令认证6.【单选题】入侵检测系统放置在防火墙内部所带来的好处是()A.减少对防火墙的攻击B.降低入侵检测C.增加对低层次攻击的检测D.增加检测能力和检测范围7.【单选题】下列说法中,错误的是()A.服务攻击是针对某种特定攻击的网络应用的攻击B.主要的渗入威胁有特洛伊木马和陷阱C.非服务攻击是针对网络层协议而进行的D.对于在线业务系统的安全风险评估,应采用最小影响原则8.【单选题】包过滤技术防火墙在过滤数据包时,一般不关心()A.数据包的原地址B.数据包的目的地址C.数据包的协议类型D.数据包的内容9.【单选题】面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题,致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护。
从数据挖掘的角度看,不属于隐私保护技术的是()。
A.基于数据失真的隐私保护技术B.基于数据匿名化的隐私保护技术C.基于数据分析的隐私保护技术D.基于数据加密的隐私保护技术10.【单选题】从安全属性对各种网络攻击进行分类,阻断攻击是针对()的攻击A.机密性B.可用性C.完整性D.真实性11.【单选题】以下关于VPN的叙述中,正确的是()A.VPN指的是用户通过公用网络建立的临时的、安全的连接B.VPN指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路C.VPN不能做到信息认证和身份认证D.VPN只能提供身份认证,不能提供数据加密的功能12.【单选题】身份识别在信息安全领域有着广泛的应用,通过识别用户的生理特征来认证用户的身份是安全性很高的身份认证方法。
软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)试题与参考答案(2024年)
2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试题(答案在后面)一、基础知识(客观选择题,75题,每题1分,共75分)1、题目:在信息安全领域,以下哪种加密算法属于对称加密算法?A、RSAB、AESC、MD5D、SHA-2562、题目:在计算机安全事件处理过程中,以下哪个阶段不属于事件响应阶段?A、事件识别B、事件报告C、事件分析D、事件恢复3、下列关于信息安全体系的说法,正确的是()。
A. 信息安全体系是指保护计算机系统安全的一系列技术和管理措施B. 信息安全体系是指保护信息资产的安全的一系列技术和管理措施C. 信息安全体系是指保护计算机网络安全的一系列技术和管理措施D. 信息安全体系是指保护信息资源的安全的一系列技术和管理措施4、在信息安全中,以下哪项措施属于物理安全?()A. 数据加密B. 访问控制C. 物理隔离D. 防火墙5、在信息安全中,以下哪种加密算法是非对称加密算法?A. DESB. RSAC. MD5D. SHA-2566、在信息安全评估中,以下哪个不属于常见的评估方法?A. 黑盒测试B. 白盒测试C. 漏洞扫描D. 安全审计7、题目:下列关于密码学中哈希函数特点描述错误的是:A、哈希函数具有单向性,即从输入数据到输出哈希值是容易的,而从哈希值反推输入数据是困难的。
B、哈希函数的输出值长度固定,不随输入数据的长度变化。
C、哈希函数的输入数据即使只有一个小小的变化,其输出哈希值也会发生很大变化,即具有雪崩效应。
D、哈希函数的输出值是随机的,没有任何规律可循。
8、题目:以下关于信息安全风险评估的说法,错误的是:A、信息安全风险评估是信息安全管理体系的核心组成部分。
B、信息安全风险评估的目的是为了识别、分析和评估信息安全风险,为制定信息安全策略提供依据。
C、信息安全风险评估应当考虑组织内外部所有可能的风险因素。
D、信息安全风险评估的结果应当是静态的,不需要随着时间和环境的变化进行调整。
软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)试题及解答参考(2024年)
2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试题(答案在后面)一、基础知识(客观选择题,75题,每题1分,共75分)1、信息安全的基本要素包括哪些?A、保密性、完整性、可用性、可控性B、机密性、完整性、可用性、不可变性C、保密性、真实性、完整性、不可抵赖性D、机密性、真实性、完整性、可追溯性2、以下哪个选项不属于信息安全风险管理的常见步骤?A、风险评估B、风险管理策略制定C、信息安全事件应急响应D、信息安全产品采购3、以下哪项不属于信息安全的基本属性?A. 保密性B. 完整性C. 可用性D. 可移植性4、关于防火墙的功能,下列描述正确的是:A. 防火墙可以防止所有类型的网络攻击。
B. 防火墙仅能提供物理层的安全防护。
C. 防火墙主要用于控制进出网络的数据流,以达到保护内部网络的目的。
D. 防火墙的作用是完全取代其他安全措施,如防病毒软件等。
5、以下哪种加密算法属于对称加密算法?()A. RSAB. AESC. DESD. SHA-2566、在信息安全领域,以下哪个不是常见的网络攻击类型?()A. 拒绝服务攻击(DoS)B. 网络钓鱼(Phishing)C. SQL注入攻击D. 恶意软件(Malware)7、关于密码学的基本概念,下列描述正确的是?A. 对称加密算法的特点是加密密钥与解密密钥相同B. 非对称加密算法中,公钥用于加密,私钥用于解密C. 数字签名主要用于验证数据的完整性和发送者的身份D. 哈希函数可以用于生成固定长度的消息摘要,但不是一种加密方法8、在网络安全中,防火墙的主要作用是什么?A. 阻止内部网络的用户访问互联网B. 检测并阻止来自外部网络的攻击C. 记录通过防火墙的所有流量信息D. 实现内外网之间的数据交换控制9、以下哪个选项不属于信息安全的基本原则?A. 完整性B. 可用性C. 可访问性D. 可控性 10、以下关于安全审计的说法,正确的是:A. 安全审计只能检测到已知的攻击和入侵行为B. 安全审计可以预防系统被攻击C. 安全审计可以恢复被攻击后的数据D. 安全审计是实时监控系统安全状态的一种方法11、在信息安全领域,下列哪一项不是防火墙的主要功能?A. 防止未经授权的访问B. 检测并阻止恶意软件C. 控制网络流量D. 保护内部网络不受外部威胁12、以下哪种算法不属于对称加密算法?A. AESB. DESC. RSAD. Blowfish13、在信息安全领域,以下哪项技术不属于加密技术?A. 对称加密B. 非对称加密C. 混合加密D. 加密哈希14、在信息安全风险评估中,以下哪个因素不是直接影响风险的概率?A. 攻击者的技能水平B. 系统的脆弱性C. 风险的暴露时间D. 事件的经济损失15、以下哪种加密算法属于非对称加密算法?A. AESB. DESC. RSAD. RC416、关于数字签名的说法,下列哪一项正确?A. 数字签名可以保证数据的完整性,但不能验证发送者的身份。
软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)试题与参考答案(2024年)
2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试题(答案在后面)一、基础知识(客观选择题,75题,每题1分,共75分)1、以下哪种技术不属于防火墙的主要技术手段?()A. 包过滤技术B. 应用层网关技术C. 数据加密技术D. 状态检测技术2、在信息安全领域,以下哪个概念描述了未经授权的访问或破坏信息系统资源的行为?()A. 恶意软件B. 网络攻击C. 信息泄露D. 计算机病毒3、在信息安全中,以下哪个术语描述了未经授权访问计算机系统或网络的行为?A. 网络钓鱼B. 网络嗅探C. 黑客攻击D. 数据泄露4、以下哪种加密算法既适用于对称加密也适用于非对称加密?A. RSAB. AESC. DESD. SHA-2565、在信息安全领域中,以下哪项不是物理安全措施?A. 访问控制B. 防火墙C. 生物识别D. 数据加密6、以下哪种加密算法属于对称加密算法?A. RSAB. AESC. DESD. SHA-2567、在信息安全中,以下哪个术语表示对信息的保密性进行保护?A. 可用性B. 完整性C. 隐私性D. 机密性8、以下哪种安全机制用于在通信过程中保证数据的完整性?A. 防火墙B. 数字签名C. 数据加密D. 身份验证9、在信息安全领域,以下哪项不属于常见的物理安全措施?A. 建筑安全系统B. 访问控制C. 数据加密D. 防火墙 10、在信息安全事件处理中,以下哪个阶段不属于事前准备阶段?A. 制定安全策略B. 安全意识培训C. 安全事件应急响应计划D. 安全设备部署11、在信息安全领域,以下哪个不是常见的威胁类型?A. 拒绝服务攻击(DoS)B. 恶意软件(Malware)C. 物理攻击D. 逻辑漏洞12、以下关于数字签名技术的描述,错误的是:A. 数字签名可以用于验证信息的完整性B. 数字签名可以用于验证信息的真实性C. 数字签名可以用于保证信息传输的保密性D. 数字签名可以用于防止信息被篡改13、以下哪项技术不属于网络安全防护的常见手段?A. 防火墙B. 数据加密C. 身份认证D. 漏洞扫描14、在信息安全中,以下哪个术语描述的是一种用于保护数据不被未授权访问的技术?A. 网络隔离B. 数据备份C. 访问控制D. 数据压缩15、以下哪项不是信息安全工程中的安全模型?A. 贝尔-拉普模型B. 访问控制模型C. 安全审计模型D. 加密模型16、在以下安全事件中,哪一种事件最有可能导致信息泄露?A. 硬件故障B. 网络攻击C. 操作失误D. 恶意软件感染17、在网络安全中,以下哪种攻击方式属于拒绝服务攻击(DoS)?A. 中间人攻击(MITM)B. 拒绝服务攻击(DoS)C. 恶意软件攻击D. 网络钓鱼18、在信息安全体系中,以下哪种措施主要用于保护信息系统的物理安全?A. 数据加密B. 访问控制C. 物理隔离D. 安全审计19、以下哪个选项不属于信息安全的基本原则?A. 完整性B. 可用性C. 保密性D. 可追溯性 20、在网络安全中,以下哪种攻击方式属于被动攻击?A. 中间人攻击B. 拒绝服务攻击C. 伪装攻击D. 密码嗅探21、在信息安全中,以下哪种认证方式适用于保障数据在传输过程中的机密性?A. 数字签名B. 认证中心(CA)C. 数据加密D. 访问控制22、以下哪种攻击方式属于基于应用层的攻击?A. 拒绝服务攻击(DoS)B. 中间人攻击(MITM)C. SQL注入D. 恶意软件23、以下哪项技术属于网络安全防护中的加密技术?A. 防火墙B. 入侵检测系统C. 数字签名D. 数据库安全审计24、在信息安全领域,以下哪项不属于信息安全的基本要素?A. 机密性B. 完整性C. 可用性D. 可控性25、以下关于密码学中的对称加密和非对称加密的说法中,错误的是:A. 对称加密使用相同的密钥进行加密和解密B. 非对称加密使用公钥和私钥进行加密和解密C. 对称加密的速度比非对称加密快D. 非对称加密比对称加密更安全26、以下关于防火墙功能的说法中,不属于防火墙基本功能的是:A. 防止非法访问B. 防止病毒入侵C. 实现网络地址转换(NAT)D. 数据包过滤27、以下哪种安全机制属于访问控制机制?A. 加密B. 身份验证C. 审计D. 防火墙28、在信息安全领域,以下哪个术语表示信息在传输过程中的保密性?A. 完整性B. 可用性C. 机密性D. 可追溯性29、以下哪种加密算法适用于对称加密?A. RSAB. DESC. SHA-256D. MD5 30、在网络安全中,以下哪种攻击方式属于中间人攻击?A. 拒绝服务攻击(DoS)B. 社会工程学攻击C. 中间人攻击(MITM)D. SQL注入攻击31、下列选项中,哪一项是用于加密电子邮件的标准?A. S/MIMEB. SSLC. IPSecD. PGP32、在网络安全模型中,确保信息只能按照授权方式进行修改的属性是什么?A. 完整性B. 可用性C. 访问控制D. 加密33、在信息安全领域中,以下哪个概念描述了未经授权的访问、使用、披露、破坏、篡改或损害信息系统的行为?A. 信息安全B. 信息保密C. 信息安全攻击D. 信息安全防护34、在网络安全防护中,以下哪个技术主要用于防止恶意软件感染计算机系统?A. 防火墙B. 入侵检测系统C. 防病毒软件D. 网络加密35、以下哪一项不属于防火墙的主要功能?A. 对网络攻击进行检测和告警B. 阻止内部主动发起的对外部的访问C. 管理进出网络的访问行为D. 记录通过防火墙的信息内容和活动36、关于数字证书的说法,下列哪一项是正确的?A. 数字证书只能用于电子邮件加密B. 数字证书可以用来证明个人的身份信息C. 数字证书是由政府机构颁发的D. 数字证书中的私钥是由CA中心保管37、以下哪项不属于信息安全的基本威胁类型?A. 拒绝服务攻击B. 网络钓鱼C. 物理安全D. 恶意软件38、在信息安全中,以下哪种加密算法属于对称加密算法?A. RSAB. AESC. SHA-256D. MD539、以下哪种加密算法属于非对称加密算法?A. AESB. DESC. RSAD. RC4 40、下列措施中,哪一项不属于防火墙的功能?A. 数据包过滤B. 应用网关C. 记录通过防火墙的信息内容和活动D. 对网络攻击进行反制41、下列关于密码学的说法中,错误的是()A. 密码学是研究如何确保信息在传输和存储过程中不被非法获取和篡改的学科。
2024年软考-中级软考-信息安全工程师考试历年真题常考点试题3带答案
2024年软考-中级软考-信息安全工程师考试历年真题常考点试题带答案(图片大小可任意调节)第1卷一.单选题(共20题)1.我国制定的关于无线局域网安全的强制标准是()A.IEEEB.WPAC.WAPID.WEP2.()指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。
A.安全授权B.安全管理C.安全服务D.安全审计3.有一种原则是对信息进行均衡、全面的防护,提高整个系统的安全性能,该原则称为()A.动态化原则B.木桶原则C.等级性原则D.整体原则4.网络密罐技术是一种主动防御技术,是入侵检测技术的一个重要发展方向,以下有关密罐说法不正确的是()。
A.密罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或者多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标B.使用密罐技术,可以使目标系统得以保护,便于研究入侵者的攻击行为C.如果没人攻击,密罐系统就变得毫无意义D.密罐系统会直接提高计算机网络安全等级,是其他安全策略不可替代的5.关于计费管理的描述中,错误的是()A.统计网络资源利用率B.进行账单管理C.人工费用不计入网络成本D.进行效益核算6.移动用户有些属性信息需要受到保护,这些信息一旦泄露,会对公众用户的生命财产安全构成威胁。
以下各项中,不需要被保护的属性是()A.用户身份( ID)B.用户位置信息C.终端设备信息D.公众运营商信息7.从风险分析的观点来看,计算机系统的最主要弱点是()A.内部计算机处理B.系统输入输出C.通讯和网络D.外部计算机处理8.以下关于认证技术的叙述中,错误的是()A.指纹识别技术的利用可以分为验证和识别B.数字签名是十六进制的字符串C.身份认证是用来对信息系统中实体的合法性进行验证的方法D.消息认证能够确定接收方收到的消息是否被篡改过9.下列报告中,不属于信息安全风险评估识别阶段的是()A.资产价值分析报告B.风险评估报告C.威胁分析报告D.已有安全威胁分析报告10.信息安全从社会层面来看,反映在()这三个方面。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、1单项选择题(1-605)1、Chinese Wall 模型的设计宗旨是:(A)。
A、用户只能访问哪些与已经拥有的信息不冲突的信息B、用户可以访问所有信息C、用户可以访问所有已经选择的信息D、用户不可以访问哪些没有选择的信息2、安全责任分配的基本原则是:(C)。
A、“三分靠技术,七分靠管理”B、“七分靠技术,三分靠管理”C、“谁主管,谁负责”D、防火墙技术3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一,以下(B)不属于信息运行安全技术的范畴。
A、风险分析B、审计跟踪技术C、应急技术D、防火墙技术4、从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该(A)。
A、内部实现B、外部采购实现C、合作实现D、多来源合作实现5、从风险分析的观点来看,计算机系统的最主要弱点是(B)。
A、内部计算机处理B、系统输入输出C、通讯和网络D、外部计算机处理6、从风险管理的角度,以下哪种方法不可取?(D)A、接受风险B、分散风险C、转移风险D、拖延风险7、当今IT的发展与安全投入,安全意识和安全手段之间形成(B)。
A、安全风险屏障B、安全风险缺口C、管理方式的变革D、管理方式的缺口8、当为计算机资产定义保险覆盖率时,下列哪一项应该特别考虑?(D)。
A、已买的软件B、定做的软件C、硬件D、数据9、当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在该系统重新上线前管理员不需查看:(C)A、访问控制列表B、系统服务配置情况C、审计记录D、用户账户和权限的设置10、根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行(B)。
A、逻辑隔离B、物理隔离C、安装防火墙D、VLAN 划分11、根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?(D)A、威胁、脆弱性B、系统价值、风险C、信息安全、系统服务安全D、受侵害的客体、对客体造成侵害的程度业务12、公司应明确员工的雇佣条件和考察评价的方法与程序,减少因雇佣不当而产生的安全风险。
人员考察的内容不包括(B)。
A、身份考验、来自组织和个人的品格鉴定B、家庭背景情况调查C、学历和履历的真实性和完整性D、学术及专业资格13、计算机信息的实体安全包括环境安全、设备安全、(B)三个方面。
A运行安全B、媒体安全C、信息安全D、人事安全14、目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所指定的规章制度?(B)A、公安部B、国家保密局C、信息产业部D、国家密码管理委员会办公室15、目前我国颁布实施的信息安全相关标准中,以下哪一个标准属于强制执行的标准?(B)A、GB/T 18336-2001 信息技术安全性评估准则B、GB 17859-1999 计算机信息系统安全保护等级划分准则C、GB/T 9387.2-1995 信息处理系统开放系统互联安全体系结构D、GA/T 391-2002 计算机信息系统安全等级保护管理要求16、确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,不为其所用,是指(C)。
A、完整性B、可用性C、保密性D、抗抵赖性17、如果对于程序变动的手工控制收效甚微,以下哪一种方法将是最有效的?(A)A、自动软件管理B、书面化制度C、书面化方案D、书面化标准18、如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容?(A)A、计算风险B、选择合适的安全措施C、实现安全措施D、接受残余风险19、软件供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。
以下哪一项是这种情况面临的最主要风险?(A)A、软件中止和黑客入侵B、远程监控和远程维护C、软件中止和远程监控D、远程维护和黑客入侵20、管理审计指(C)A、保证数据接收方收到的信息与发送方发送的信息完全一致B、防止因数据被截获而造成的泄密C、对用户和程序使用资源的情况进行记录和审查D、保证信息使用者都可21、为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时下面哪一项是最好的方法?(A)A、进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码B、进行离职谈话,禁止员工账号,更改密码C、让员工签署跨边界协议D、列出员工在解聘前需要注意的所有责任22、为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?(D)A、人际关系技能B、项目管理技能C、技术技能D、沟通技能23、我国的国家秘密分为几级?(A)A、3B、4C、5D、624、系统管理员属于(C)。
A、决策层B、管理层C、执行层D、既可以划为管理层,又可以划为执行层25、下列哪一个说法是正确的?(C)A、风险越大,越不需要保护B、风险越小,越需要保护C、风险越大,越需要保护D、越是中等风险,越需要保护26、下面哪类访问控制模型是基于安全标签实现的?(B)A、自主访问控制B、强制访问控制C、基于规则的访问控制D、基于身份的访问控制27、下面哪项能够提供最佳安全认证功能?(B)A、这个人拥有什么B、这个人是什么并且知道什么C、这个人是什么D、这个人知道什么28、下面哪一个是国家推荐性标准?(A)A、GB/T 18020-1999 应用级防火墙安全技术要求B、SJ/T 30003-93 电子计算机机房施工及验收规范C、GA243-2000 计算机病毒防治产品评级准则D、ISO/IEC 15408-1999 信息技术安全性评估准则29、下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的?(C)A、对安全违规的发现和验证是进行惩戒的重要前提B、惩戒措施的一个重要意义在于它的威慑性C、处于公平,进行惩戒时不应考虑员工是否是初犯,是否接受过培训D、尽管法律诉讼是一种严厉有效的惩戒手段,但使用它时一定要十分慎重30、下面哪一项最好地描述了风险分析的目的?(C)A、识别用于保护资产的责任义务和规章制度B、识别资产以及保护资产所使用的技术控制措施C、识别资产、脆落性并计算潜在的风险D、识别同责任义务有直接关系的威胁31、下面哪一项最好地描述了组织机构的安全策略?(A)A、定义了访问控制需求的总体指导方针B、建议了如何符合标准C、表明管理意图的高层陈述D、表明所使用的技术控制措施的高层陈述32、下面哪一种风险对电子商务系统来说是特殊的?(D)A、服务中断B、应用程序系统欺骗C、未授权的信息泄露D、确认信息发送错误33、下面有关我国标准化管理和组织机构的说法错误的是?(C)A、国家标准化管理委员会是统一管理全国标准化工作的主管机构B、国家标准化技术委员会承担国家标准的制定和修改工作C、全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布D、全国信息安全标准化技术委员负责统一协调信息安全国家标准年度技术项目34、项目管理是信息安全工程师基本理论,以下哪项对项目管理的理解是正确的?(A)A、项目管理的基本要素是质量,进度和成本B、项目管理的基本要素是范围,人力和沟通C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织D、项目管理是项目的管理者,在有限的资源约束下,运用系统的观点,方法和理论,对项目涉及的技术工作进行有效地管理35、信息安全的金三角是(C)。
A、可靠性,保密性和完整性B、多样性,冗余性和模化性C、保密性,完整性和可用性D、多样性,保密性和完整性36、信息安全风险缺口是指(A)。
A、IT的发展与安全投入,安全意识和安全手段的不平衡B、信息化中,信息不足产生的漏洞C、计算机网络运行,维护的漏洞D、计算中心的火灾隐患37、信息安全风险应该是以下哪些因素的函数?(A)A、信息资产的价值、面临的威胁以及自身存在的脆弱性等B、病毒、黑客、漏洞等C、保密信息如国家密码、商业秘密等D、网络、系统、应用的复杂的程度38、信息安全工程师监理的职责包括?(A)A、质量控制,进度控制,成本控制,合同管理,信息管理和协调B、质量控制,进度控制,成本控制,合同管理和协调C、确定安全要求,认可设计方案,监视安全态势,建立保障证据和协调D、确定安全要求,认可设计方案,监视安全态势和协调39、信息安全管理最关注的是?(C)A、外部恶意攻击B、病毒对PC的影响C、内部恶意攻击D、病毒对网络的影响40、信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的?(C)A、信息的价值B、信息的时效性C、信息的存储方式D、法律法规的规定41、信息网络安全的第三个时代是(A)A、主机时代,专网时代,多网合一时代B、主机时代,PC时代,网络时代C、PC时代,网络时代,信息时代D、2001年,2002年,2003年42、一个公司在制定信息安全体系框架时,下面哪一项是首要考虑和制定的?(A)A、安全策略B、安全标准C、操作规程D、安全基线43、以下哪个不属于信息安全的三要素之一?(C)A、机密性B、完整性C、抗抵赖性D、可用性44、以下哪一项安全目标在当前计算机系统安全建设中是最重要的?(C)A、目标应该具体B、目标应该清晰C、目标应该是可实现的D、目标应该进行良好的定义45、以下哪一项计算机安全程序的组成部分是其它组成部分的基础?(A)A、制度和措施B、漏洞分析C、意外事故处理计划D、采购计划46、以下哪一项是对信息系统经常不能满足用户需求的最好解释?(C)A、没有适当的质量管理工具B、经常变化的用户需求C、用户参与需求挖掘不够D、项目管理能力不强47、以下哪一种人给公司带来了最大的安全风险?(D)A、临时工B、咨询人员C、以前的员工D、当前的员工48、以下哪种安全模型未使用针对主客体的访问控制机制?(C)A、基于角色模型B、自主访问控制模型C、信息流模型D、强制访问控制模型49、以下哪种措施既可以起到保护的作用还能起到恢复的作用?(C)A、对参观者进行登记B、备份C、实施业务持续性计划D、口令50、以下哪种风险被定义为合理的风险?(B)A、最小的风险B、可接受风险C、残余风险D、总风险51、以下人员中,谁负有决定信息分类级别的责任?(B)A、用户B、数据所有者C、审计员D、安全官52、有三种基本的鉴别的方式:你知道什么,你有什么,以及(C)。
A、你需要什么B、你看到什么C、你是什么D、你做什么53、在对一个企业进行信息安全体系建设中,下面哪种方法是最佳的?(B)A、自下而上B、自上而下C、上下同时开展D、以上都不正确54、在风险分析中,下列不属于软件资产的是(D)A、计算机操作系统B、网络操作系统C、应用软件源代码D、外来恶意代码55、在国家标准中,属于强制性标准的是:(B)A、GB/T XXXX-X-200XB、GB XXXX-200XC、DBXX/T XXX-200XD、QXXX-XXX-200X56、在任何情况下,一个组织应对公众和媒体公告其信息系统中发生的信息安全事件?(A)A、当信息安全事件的负面影响扩展到本组织意外时B、只要发生了安全事件就应当公告C、只有公众的什么财产安全受到巨大危害时才公告D、当信息安全事件平息之后57、在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则?(A)A、标准(Standard)B、安全策略(Security policy)C、方针(Guideline)D、流程(Proecdure)58、在信息安全管理工作中“符合性”的含义不包括哪一项?(C)A、对法律法规的符合B、对安全策略和标准的符合C、对用户预期服务效果的符合D、通过审计措施来验证符合情况59、在许多组织机构中,产生总体安全性问题的主要原因是(A)。