C.完整性约束 D.保密性控制
31.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞? A.缓冲区溢出 B.SQL注入 C.设计错误 D.跨站脚本
32.通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在? A.明文形式存在
B.服务器加密后的密文形式存在 C.Hasn运算后的消息摘要值存在 D.用户自己加密后的密文形式存在
33.下列对跨站脚本攻击(XSS)的描述正确的是:
A.XSS攻击指的是恶意攻击在WEB页面里插入恶意代码,当用户浏览该页面时嵌入其中WEB页面的代码会被执行,从而达到恶意攻击用户的特殊目的 B.XSS攻击是DOOS攻击的一种变种 C.XSS攻击就是CC攻击
D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使HS连接X超出限制,当CPU———————耗尽,那么网站也就被攻击垮了,从而达到攻击的目的。
34.下列哪种恶意代码不具备“不感染、依附性”的特点? A.后门 B.*门 C.木马 D.蠕虫
35.下列关于计算机病毒感染能力的说法不正确的是 A 能将自身代码注入到引导区
B 能讲自身代码注入到扇区中的文件镜像 C 能将自身代码注入文本中并执行
D 能将自身文件注入到文档配置版的宏文件中
36.Smurf 利用下列哪种协议进行攻击? A.ICMP B.IGMP C.TCP D.UDP
37.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接受者,这种情况属于哪一种攻击? A.重放攻击
B.Smurt攻击 C.字典攻击 D.中间人攻击
38.下列哪些措施不是有效的缓冲区溢出的防护措施? A.使用标准的C语言字符串库进行操作 B.严格验证输入字符串长度 C.过滤不合规则的字符
D.使用第三方安全的字符串库操作
39.下面对PDCA模型的解释不正确的是:
A.通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B.是一种可以应用于信息安全管理活动的持续改进的有效实践方法 C.也被称为“戴明环”
D.适用于对组织整体活动的优化,不适合单个的过程以及个人
40.风险评估方法的选定在PDCA循环中的哪个阶段完成? A.实施和运行 B.保持和改进 C.建立
D.监视和评审
41.在风险管理准备阶段“建立背景”(对象建立)过程中不用设置的是: A.分析系统的体系结构 B.分析系统的安全环境 C.制定风险管理计划 D.调查系统的技术特性
42.风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程。关于这些过程,以下的说法哪一个是正确的? A.风险分析准备的内容是识别风险的影响和可能性
B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度 C.风险分析的内容是识别风险的影响和可能性
D.风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施
43.下列哪一项准确地描述了脆弱性、威胁、影响和风险之间的关系? A.脆弱性增加了威胁,威胁利用了风险并导致了影响 B.风险引起了脆弱性并导致了影响,影响又引起了威胁 C.风险允许威胁利用脆弱性,并导致了影响
D.威胁利用脆弱性并产生影响的可能性称为风险,影响是威胁已造成损害的实例
44.管理者何时可以根据风险分析结果对已识别的风险不采取措施? A.当必须的安全对策的成本高出实际风险的可能造成的潜在费用时 B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制范围之内时 D.不可接受
45.以下选项中哪一项是对于信息安全风险采取的纠正机制? A.访问控制 B.入侵检测 C.灾难恢复 D.防病毒系统
46.下列对风险分析方法的描述正确的是: A.定量分析比定性分析方法使用的工具更多 B.定性分析比定量分析方法使用的工具更多 C.同一组织只用使用一种方法进行评估
D.符合组织要求的风险评估方法就是最优方法
47.下列哪种处置方法属于转移风险? A.部署综合安全审计系统 B.对网络行为进行实时监控 C.制订完善的制度体系
D.聘用第三方专业公司提供维护外包服务
48.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负责最终责任? A.部门经理 B.高级管理层 C.信息资产所有者 D.最终用户
49.以下关于“最小特权”安全管理原则理解正确的是: A.组织机构内的敏感岗位不能由一个人长期负责 B.对重要的工作进行分解,分配给不同人员完成 C.一个人有且仅有其执行岗位所足够的许可和权限
D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
50.在《信息系统灾难恢复规范》中,根据___要素,X灾难恢复等级划分为___X. A. 7;6 B. 8;7 C. 7;7 D. 8;6
51.灾难发生时,系统和数据必须恢复到的______为恢复点目标() A. 时间要求 B. 时间点要求 C. 数据状态 D. 运行状态
52.根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:
A.系统级演练、业务级演练、应用级演练 B.系统级演练、应用级演练、业务级演练 C.业务级演练、应用级演练、系统级演练 D.业务级演练、系统级演练、应用级演练
53.下面对能力成熟度模型解释最准确的是:
A.它认为组织的能力依赖于严格定义、管理完善、可测可控的有效业务过程 B.它通过严格考察工程成果来判断工程能力
C.它与统计过程控制理论的出发点不同,所以应用于不同领域 D.它是随着信息安全的发展而诞生的重要概念
54.下面对于SSE—CMM保证过程的说话错误的是: A.保证是指安全需求得到满足的可信任程度 B.信任程度来自于对安全工程过程结果的判断
C.自验证与证实安全的主要手段包括观察、论证、分析和测试 D.PA“建立保证论据”为PA“验证与证实安全”提供了证据支持
55.SSE—CMM工程过程区域中的风险过程包含哪些过程区域? A.评估威胁、评估脆弱性、评估影响 B.评估威胁、评估脆弱行、评估安全风险
C.评估威胁、评估脆弱性、评估影响、评估安全风险 D.评估威胁、评估脆弱性、评估影响、验证和证实安全
56.按照SSE—CMM,能力级别第三级是指: A.定量控制 B.计划和跟踪 C.持续改进 D.充分定义
57.一个组织的系统安全能力成熟度达到哪个级别以后,就可以考为过程域(PA)的实施提供充分的资源?
A.2级——计划和跟踪 B.3级——充分定义 C.4级——量化控制 D.5级——持续改进
58.在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标: A.防止出现数据范围以外的值 B.防止出现错误的数据处理顺序 C.防止缓冲区溢出攻击 D.防止代码注入攻击