CISM题库(250题含答案) 下载本文

- 5 - 中电运行技术研究院

38.以下哪个入侵检测技术能检测到未知的攻击行为? A.基于误用的检测技术 B.基于异常的检测技术 C.基于日志分析的技术 D.基于漏洞机理研究的技术

39.做渗透测试的第一步是:

A.信息收集 B.漏洞分析与目标选定 C.拒绝服务攻击 D.尝试漏洞利用

40.监听网络流量获取密码,之后使用这个密码试图完成未经授权访问的攻击方式被称为: A.穷举攻击 B.字典攻击 C.社会工程攻击

41.下面哪一项是社会工程? A.缓冲器溢出

D.重放攻击

B.SQL 注入攻击

C.电话联系组织机构的接线员询问用户名和口令 D.利用 PK/CA 构建可信网络

“TCPSYNFlooding”建立大量处于半连接状态的 TCP 连接,其攻击目标是网络的 A.保密性 B.完整性 C.真实性 D.可用性

43.通过反复尝试向系统提交用户名和密码以发现正确的用户密码的攻击方式称为: A.账户信息收集 B.密码分析 C.密码嗅探 D.密码暴力破解

44.下列保护系统账户安全的措施中,哪个措施对解决口令暴力破解无帮助?

A.设置系统的账户锁定策略,在用户登录输入错误次数达到一定数量时对账户进行锁定 B.更改系统内宣管理员的用户名 C.给管理员账户一个安全的口令

D.使用屏幕保护并设置返回时需要提供口令

45.关闭系统中不需要的服务主要目的是: A.避免由于服务自身的不稳定影响系统的安全

B.避免攻击者利用服务实现非法操作从而危害系统安全 C.避免服务由于自动运行消耗大量系统资源从而影响效率 D.以上都是

46.某系统被攻击者入侵,初步怀疑为管理员存在弱口令,攻击者从远程终端以管理员身 份登录进系统进行了相应的破坏,验证此事应查看: A.系统日志 B.应用程序日志 C.安全日志 D.IIS 日志 47.U 盘病毒的传播是借助 Windows 系统的什么功能实现的?

A.自动播放 B.自动补丁更新 C.服务自启动 D.系统开发漏洞

48.保护数据安全包括保密性、完整性和可用性,对于数据的可用性解决方法最有效的是: A.加密 B.备份 C.安全删除 D.以上都是

49.在 Windows 系统中,管理权限最高的组是:

A.everyone B.administrators C.powerusers D.users

50.Windows 系统下,可通过运行 命令打开 Windows 管理控制台。 A.regedit B.cmd C.mmc D.mfc

51.在 Windows 文件系统中, 支持文件加密。

- 6 - 中电运行技术研究院 B.NTFS C.FAT32 D.EXT3 A.FAT16

52.在 window 系统中用于显示本机各网络端口详细情况的命令是: A.netshow B.netstat C.ipconfig D.netview

53.视窗操作系统(Windows)从哪个版本开始引入安全中心的概念? A.WinNTSP6 B.Win2000SP4 C.WinXPSP2 D.Win2003SP1

54.在 WindowsXP 中用事件查看器查看日志文件,可看到的日志包括? A.用户访问日志、安全性日志、系统日志和 IE 日志 B.应用程序日志、安全性日志、系统日志和 IE 日志 C.网络攻击日志、安全性日志、记账日志和 IE 日志 D.网络链接日志、安全性日志、服务日志和 IE 日志

55.关于数据库注入攻击的说法错误的是: A.它的主要原因是程序对用户的输入缺乏过滤 B.一般情况下防火培对它无法防范

C.对它进行防范时要关注操作系统的版本和安全补丁 D.注入成功后可以获取部分权限

56.专门负责数据库管理和维护的计算机软件系统称为: A.SQL-MS

B.INFERENCECONTROL C.DBMS

D.TRIGGER-MS

57.下列哪一项与数据库的安全直接相关? A.访问控制的粒度 B.数据库的大小 C.关系表中属性的数量 D.关系表中元组的数量

58.信息安全风险的三要素是指:

A.资产/威胁/脆弱性 B.资产/使命/威胁 C.使命/威胁/脆弱性 D.威胁/脆弱性/使命

59.以下哪一项是已经被确认了的具有一定合理性的风险? A.总风险 B.最小化风险 C.可接受风险 D.残余风险

60.统计数据指出,对大多数计算机系统来说,最大的威胁是: A.本单位的雇员 B.黑客和商业间谍 C.未受培训的系统用户 D.技术产品和服务供应商

61.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任? A.部门经理 B.高级管理层 C.信息资产所有者 D.最终用户

62.风险评估方法的选定在 PDCA 循环中的哪个阶段完成?

A.实施和运行 B.保持和改进 C.建立 D.监视和评审

63.下列安全协议中, 可用于安全电子邮件加密。

- 7 - 中电运行技术研究院 A.PGP B.SET C.SSL D.TLS

64.HTTPS 采用 A.SSL

协议实现安全网站访问。

B.IPSec C.PGP

D.SET

65.信息安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度,信息系统安全保护等级分为: A.3 级 B.4 级 C.5 级 D.6 级

66.以下关于\最小特权\安全管理原则理解正确的是: A.组机构内的敏感岗位不能由一个人长期负责 B.对重要的工作进行分解,分配给不同人员完成 C.一个人有且仅有其执行岗位所足够的许可和权限

D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限

67. 是目前国际通行的信息技术产品安全性评估标准? A.TCSEC B.ITSEC C.CC D.IATF

68.下面哪个不是 ISO27000 系列包含的标准? A.《信息安全管理体系要求》 B.《信息安全风险管理》 C.《信息安全度量》 D.《信息安全评估规范》

69.信息安全管理的根本方法是:

A.风险处置 B.应急响应 C.风险管理 D.风险评估

70.以下对信息安全管理体系说法不正确的是: A.基于国际标准 ISO/IEC27000

B.它是综合信息安全管理和技术手段,保障组织信息安全的一种方法 C.它是管理体系家族的一个成员 D.基于国际标准 ISO/IEC27001

71.以下对 PDCA 循环解释不正确的是: A.P(Process):处理 B.D(Do):实施 C.C(Check):检查 D.A(Action):行动

72.以下对 PDCA 循环特点描述不正确的是. A.按顺序进行,周而复始,不断循环

B.组织中的每个部分,甚至个人,均可以 PDCA 循环,大环套小环,一层一层地解决问题 C.每通过一次 PDCA 循环,都要进行总结,提出新目标,再进行第二次 PDCA 循环 D.可以由任何一个阶段开始,周而复始,不断循环

73.风险是需要保护的()发生损失的可能性,它是()和()综合结果。 A.资产,攻击目标,威胁事件 B.设备,威胁,漏洞 C.资产,威胁,漏洞 D.以上都不对 74.风险管理中使用的控制措施,不包括以下哪种类型?

- 8 - 中电运行技术研究院 A.防性控制措施 B.管理性控制措施 C.检查性控制措施 D.纠正性控制措施

75.风险管理中的控制措施不包括以下哪一方面? A.行政 B.道德 C.技术 D.管理

76.风险评估不包括以下哪个活动? A.中断引入风险的活动 B.识别资产 C.识别威胁 D.分析风险

77,在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括: A.资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B.资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 C.完整性、可用性、机密性、不可抵赖性 D.减低风险、转嫁风险、规避风险、接受风险

78.以下哪一项不是信息安全风险分析过程中所要完成的工作: A.识别用户 B.识别脆弱性 C.评估资产价值

79.机构应该把信息系统安全看作:

D.计算安全事件发生的可能性

A.业务中心 B.风险中心 C.业务促进因素 D.业务抑制因素

80.应对信息安全风险的主要目标是什么? A.消除可能会影响公司的每一种威胁

B.管理风险,以使由风险产生的问题降至最低限度

C.尽量多实施安全措施以消除资产暴露在其下的每一种风险 D.尽量忽略风险,不使成本过高

81.以下关于 ISO/lEC27001 所应用的过程方法主要特点说法错误的是: A.理解组织的信息安全要求和建立信息安全方针与目标的需要 B.从组织整体业务风险的角度管理组织的信息安全风险 C.监视和评审 ISMS 的执行情况和有效性 D.基于主观测量的持续改进

82.在检查岗位职责时什么是最重要的评估标准?

A.工作职能中所有要傲的工作和需要的培训都有详细的定义 B.职责清晰,每个人都清楚自己在组织中的角色 C.强制休假和岗位轮换被执行

D.绩效得到监控和提升是基于清晰定义的目标

83.在信息安全管理中进行 ,可以有效解决人员安全意识薄弱问题。 A.内容监控 B.安全教育和培训(贯穿) C.责任追查和惩处 D.访问控制

84.以下哪一项最能体现 27002 管理控制措施中预防控制措施的目的? A.减少威胁的可能性 B.保护企业的弱点区域 C.减少灾难发生的可能性 D.防御风险的发生并降低其影响 85.关于外包的论述不正确的是: