下载掌阅APP,畅读海量书库
立即打开
●信息系统的安全属性包括 (1) 和不可抵赖性。
(1)A.保密性、完整性、可用性
B.符合性、完整性、可用性
C.保密性、完整性、可靠性
D.保密性、可用性、可维护性
●使用网上银行卡支付系统付款与使用传统信用卡支付系统付款,两者的付款授权方式是不同的,下列论述正确的是 (2) 。
(2)A.前者使用数字签名进行远程授权,后者在购物现场使用手写签名的方式授权商家扣款
B.前者在购物现场使用手写签名的方式授权商家扣款,后者使用数字签名进行远程授权
C.两者都在使用数字签名进行远程授权
D.两者都在购物现场使用手写签名的方式授权商家扣款
●电子商务安全要求的4个方面是 (3) 。
(3)A.传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抵赖性
B.存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证
C.传输的安全性、数据的完整性、交易各方的身份认证和交易的不可抵赖性
D.存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性
●应用数据完整性机制可以防止 (4) 。
(4)A.假冒源地址或用户地址的欺骗攻击
B.抵赖做过信息的递交行为
C.数据中途被攻击者窃听获取
D.数据在途中被攻击者篡改或破坏
●应用系统运行中涉及的安全和保密层次包括4层,这4个层次按粒度从粗到细的排列顺序是 (5) 。
(5)A.数据域安全、功能性安全、资源访问安全、系统级安全
B.数据域安全、资源访问安全、功能性安全、系统级安全
C.系统级安全、资源访问安全、功能性安全、数据域安全
D.系统级安全、功能性安全、资源访问安全、数据域安全
●为了确保系统运行的安全,针对用户管理,下列做法不妥当的是 (6) 。
(6)A.建立用户身份识别与验证机制,防止非法用户进入应用系统
B.用户权限的分配应遵循“最小特权”原则
C.用户密码应严格保密,并定时更新
D.为了防止重要密码丢失,把密码记录在纸质介质上
●以下关于计算机机房与设施安全管理的要求, (7) 是不正确的。
(7)A.计算机系统的设备和部件应有明显的标记,并应便于去除或重新标记
B.机房中应定期使用静电消除,以减少静电的产生
C.进入机房的工作人员,应更换不易产生静电的服装
D.禁止携带个人计算机等电子设备进入机房
●某企业应用系统为保证运行安全,只允许操作人员在规定的工作时间段内登录该系统进行业务操作,这种安全策略属于 (8) 层次
(8)A.数据域安全
B.功能性安全
C.资源访问安全
D.系统级安全
●基于用户名和口令的用户入网访问控制可分为 (9) 3个步骤。
(9)A.用户名识别与验证、用户口令的识别与验证、用户账户的默认限制检查
B.用户名识别与验证、用户口令的识别与验证、用户权限的识别与控制
C.用户身份识别与验证、用户口令的识别与验证、用户权限的识别与控制
D.用户账号的默认限制检查、用户口令的识别与验证、用户权限的识别与控制
●关于计算机机房安全保护方案的设计,以下说法错误的是 (10) 。
(10)A.某机房在设计供电系统时将计算机供电系统与机房照明设备供电系统分开
B.某机房通过各种手段保障计算机系统的供电,使得该机房的设备长期处于7×24小时连续运转状态
C.某公司在设计计算机机房防盗系统时,在机房布置了封闭装置,当潜入者触动装置时,机房可以从内部自动封闭,使盗贼无法逃脱
D.某机房采用焊接的方式设置安全防护地和屏蔽地
●应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。以下关于这4个层次安全的论述中,错误的是 (11) 。
(11)A.按粒度从粗到细排序为系统级安全、资源访问安全、功能性安全、数据域安全
B.系统级安全是应用系统的第一道防线
C.所有的应用系统都会涉及资源访问安全问题
D.数据域安全可以细分为记录级数据域安全和字段级数据域安全
●希赛公司接到通知,上级领导要在下午对该公司机房进行安全检查,为此公司做了如下安排:
①了解检查组人员数量及姓名,为其准备访客证件
②安排专人陪同检查人员对机房安全进行检查
③为了体现检查的公正,下午为领导安排了一个小时的自由查看时间
④根据检查要求,在机房内临时设置一处吸烟区,明确规定检查期间机房内其他区域严禁烟火
上述安排符合《GB/T 20269-2006信息安全技术信息系统安全管理要求》的做法是 (12) 。
(12)A.③④
B.②③
C.①②
D.②④
●电子商务发展的核心与关键问题是交易的安全性,目前安全交易中最重要的两个协议是 (13) 。
(13)A.S-HTTP和STT
B.SEPP和SMTP
C.SSL和SET
D.SEPP和SSL
●信息安全的级别划分有不同的维度,以下级别划分正确的是 (14) 。
(14)A.系统运行安全和保密有5个层次,包括设备级安全、系统级安全、资源访问安全、功能性安全和数据安全
B.机房分为4个级别:A级、B级、C级、D级
C.根据系统处理数据划分系统保密等级为绝密、机密和秘密
D.根据系统处理数据的重要性,系统可靠性分为A级和B级
●系统运行安全的关键是管理,下列关于日常安全管理的做法,不正确的是 (15) 。
(15)A.系统开发人员和系统操作人员应职责分离
B.信息化部门领导安全管理组织,一年进行一次安全检查
C.用户权限设定应遵循“最小特权”原则
D.在数据转储、维护时要有专职安全人员进行监督
●在某次针对数据库的信息安全风险评估中,发现其中对财务核心数据的逻辑访问密码长期不变。基于以上现象,下列说法正确的是 (16) 。
(16)A.该数据不会对计算机构成威胁,因此没有脆弱性
B.密码和授权长期不变是安全漏洞,属于该数据的脆弱性
C.密码和授权长期不变是安全漏洞,属于对该数据的威胁
D.风险评估针对设施和软件,不针对数据
●某公司使用包过滤防火墙控制进出公司局域网的数据,在不考虑使用代理服务器的情况下,下面描述错误的是“该防火墙能够 (17) ”。
(17)A.使公司员工只能访问Internet上与其有业务联系的公司的IP地址
B.仅允许HTTP协议通过
C.使员工不能直接访问FTP服务端口号为21的FTP服务
D.仅允许公司中具有某些特定IP地址的计算机可以访问外部网络
●两个公司希望通过Internet进行安全通信,保证从信息源到目的地之间的数据传输以密文形式出现,而且公司不希望由于在中间节点使用特殊的安全单元增加开支,最合适的加密方式是 (18) ,使用的会话密钥算法应该是 (19) 。
(18)A.链路加密
B.节点加密
C.端—端加密
D.混合加密
(19)A.RSA
B.RC-5
C.MD5
D.ECC
●使用浏览器上网时,不影响系统和个人信息安全的是 (20) 。
(20)A.浏览包含有病毒的网站
B.浏览器显示网页文字的字体大小
C.在网站上输入银行账号、口令等敏感信息
D.下载和安装互联网上的软件或者程序
●计算机病毒是 (21) 。特洛伊木马一般分为服务器端和客户端,如果攻击主机为A,目标主机为B,则 (22) 。
(21)A.编制有错误的计算机程序
B.设计不完善的计算机程序
C.已被破坏的计算机程序
D.以危害系统为目的的特殊的计算机程序
(22)A.A为服务器端B为客户端
B.A为客户端B为服务器端
C.A既为服务器端又为客户端
D.B既为服务器端又为客户端
●相对于DES算法而言,RSA算法的 (23) ,因此,RSA (24) 。
(23)A.加密密钥和解密密钥是不相同的
B.加密密钥和解密密钥是相同的
C.加密速度比DES要高
D.解密速度比DES要高
(24)A.更适用于对文件加密
B.保密性不如DES
C.可用于对不同长度的消息生成消息摘要
D.可以用于数字签名
●以下有关防火墙的说法中,错误的是 (25) 。
(25)A.防火墙可以提供对系统的访问控制
B.防火墙可以实现对企业内部网的集中安全管理
C.防火墙可以隐藏企业网的内部IP地址
D.防火墙可以防止病毒感染程序(或文件)的传播
●CA安全认证中心可以 (26) 。
(26)A.用于在电子商务交易中实现身份认证
B.完成数据加密,保护内部关键信息
C.支持在线销售和在线谈判,认证用户的订单
D.提供用户接入线路,保证线路的安全性
●关于网络安全服务的叙述中, (27) 是错误的。
(27)A.应提供访问控制服务以防止用户否认已接收的信息
B.应提供认证服务以保证用户身份的真实性
C.应提供数据完整性服务以防止信息在传输过程中被删除
D.应提供保密性服务以防止传输的数据被截获或篡改
●(28)不属于系统安全的技术。
(28)A.防火墙
B.加密狗
C.CA认证
D.防病毒
●关于 RSA 算法的说法不正确的是 (29) 。
(29)A.RSA 算法是一种对称加密算法
B.RSA 算法的运算速度比DES慢
C.RSA 算法可用于某种数字签名方案
D.RSA 的安全性主要基于素因子分解的难度
●下面关于防火墙的说法,正确的是 (30) 。
(30)A.防火墙一般由软件及支持该软件运行的硬件系统构成
B.防火墙只能防止未经授权的信息发送到内网
C.防火墙能准确地检测出攻击来自哪一台计算机
D.防火墙的主要支撑技术是加密技术
●很多银行网站在用户输入密码时要求使用软键盘,这是为了 (31) 。
(31)A.防止木马记录键盘输入的密码
B.防止密码在传输过程中被窃取
C.保证密码能够加密输入
D.验证用户密码的输入过程
●用户登录了网络系统,越权使用网络信息资源,这属于 (32) 。
(32)A.身份窃取
B.非授权访问
C.数据窃取
D.破坏网络的完整性
●对于一个具有容错能力的系统, (33) 是错误的。
(33)A.通过硬件冗余来设计系统,可以提高容错能力
B.在出现一般性故障时,具有容错能力的系统可以继续运行
C.容错能力强的系统具有更高的可靠性
D.容错是指允许系统运行时出现错误的处理结果
●利用电子邮件引诱用户到伪装网站,以套取用户的个人资料(如信用卡号码),这种欺诈行为是 (34) 。
(34)A.垃圾邮件攻击
B.网络钓鱼
C.特洛伊木马
D.未授权访问
● (35) 被定义为防火墙外部接口与 Internet 路由器的内部接口之间的网段,起到把敏感的内部网络与其他网络隔离开来,同时又为相关用户提供服务的目的。
(35)A.核心交换区
B.非军事化区
C.域名访问区
D.数据存储区
●下面关于防火墙功能的说法中,不正确的是 (36) 。
(36)A.防火墙能有效防范病毒的入侵
B.防火墙能控制对特殊站点的访问
C.防火墙能对进出的数据包进行过滤
D.防火墙能对部分网络攻击行为进行检测和报警
●信息安全风险评估贯穿于信息系统的全生命周期,根据《国家电子政务工程建设项目管理暂行办法》,项目建设单位组织开展信息安全风险评估工作一般是在 (37) 。
(37)A.可行分析阶段
B.设计阶段
C.实施工作完成前
D.实施工作完成后
●入侵检测系统使用入侵检测技术对网络和系统进行监视,并根据监视结果采取不同的处理,最大限度降低可能的入侵危害。以下关于入侵检测系统的叙述,不正确的是 (38) 。
(38)A.入侵检测系统可以弥补安全防御系统的漏洞和缺陷
B.入侵检测系统很难检测到未知的攻击行为
C.基于主机的入侵系统可以精确地判断入侵事件
D.网络检测入侵检测系统主要用于实时监控网络关键路径的信息
●某磁盘阵列共有14块硬盘,采用RAID5技术时的磁盘利用率是 (39) 。
(39)A.50%
B.100%
C.70%
D.93%
●以下关于防火墙优点的叙述,不恰当的是 (40) 。
(40)A.防火墙能强化安全策略
B.防火墙能防止从LAN内部攻击
C.防火墙能限制暴露用户点
D.防火墙能有效记录Internet上的活动
●以下不属于信息系统安全体系内容的是 (41) 。
(41)A.技术体系
B.设计体系
C.组织机构体系
D.管理体系
●以下不属于物理访问控制要点的是 (42) 。
(42)A.硬件设施在合理范围内是否能防止强制入侵
B.计算机设备的钥匙是否具有良好的控制
C.计算机设备电源供应是否能适当控制在合理的规格范围内
D.计算机设备在搬动时是否需要设备授权通行的证明
●关于3种备份方式:完全备份、差量备份和增量备份的联系和区别,说法错误的是 (43) 。
(43)A.完全备份较之差量备份,所需要的资源和时间较多
B.差量备份比增量备份需要更长的时间
C.差量备份与增量备份混杂使用,可能会造成文件丢失
D.差量备份恢复时间较增量备份短
● (44) 是目前常用的数字签名算法。
(44)A.RSA
B.DES
C.DSA
D.EDI
●安全制度是信息安全的重要保障,以下关于信息系统安全管理制度说法不正确的是 (45) 。
(45)A.安全管理制度需要建设单位、监理、承建单位三方人员共同执行
B.安全管理制度需要由监理单位制订,并报建设单位批准后执行
C.安全管理制度包括出入管理、系统升级、人事管理、应急等相关制度
D.安全管理制度的有效执行是系统安全建设成功实施的关键
●本地主机房的建设设计等级为A级,则异地建设的备份机房等级是 (46) 。
(46)A.A级
B.B级
C.C级
D.D级
●还原速度最快的数据备份策略是 (47) 。
(47)A.完全备份+增量备份+差分备份
B.差分备份+增量备份
C.完全备份+增量备份
D.完全备份+差分备份
●信息系统安全管理体系中,数据安全的目标不包括 (48) 。
(48)A.防止数据丢失
B.防止数据崩溃
C.防止系统之间数据通信的安全脆弱性威胁
D.防止数据被非法访问
●信息系统安全属性分为3个方面,以下选项不属于安全属性的是 (49) 。
(49)A.可用性
B.保密性
C.系统性
D.完整性