您好,欢迎访问三七文档
当前位置:首页 > 建筑/环境 > 工程监理 > CISM题库(250题含答案)
-1-中电运行技术研究院认证模拟试题考过的题:188、192、193、194、195、203、215、216、223、230、238、241-2-中电运行技术研究院1.信息安全保障要素不包括以下哪一项?A.技术B.工程C.组织D.管理2.以下对信息安全问题产生的根源描述最准确的是:A.信息安全问题是由于信息技术的不断发展造成的B.信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C.信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的D.信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏3.完整性机制可以防范以下哪种攻击?A.假冒源地址或用户的地址的欺骗攻击B.抵赖做过信息的递交行为C.数据传输中被窃听获取D.数据传输中被篡改或破坏4.PPDR模型不包括:A.策略B.检测C.响应D.加密5.关于信息安全策略的说法中,下面说法正确的是:A.信息安全策略的制定是以信息系统的规模为基础B.信息安全策略的制定是以信息系统的网络拓扑结构为基础C.信息安全策略是以信息系统风险管理为基础D.在信息系统尚未建设完成之前,无法确定信息安全策略6.“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂”是指下面哪种安全服务:A.数据加密B.身份认证C.数据完整性D.访问控制7.下面对ISO27001的说法最准确的是:A.该标准的题目是信息安全管理体系实施指南B.该标准为度量信息安全管理体系的开发和实施过程提供的一套标准C.该标准提供了一组信息安全管理相关的控制措施和最佳实践D.该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型8.拒绝服务攻击损害了信息系统的哪一项性能?A.完整性B.可用性C.保密性D.可靠性9.根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?A.威胁、脆弱性B.系统价值、风险C.信息安全、系统服务安全D.受侵害的客体、对客体造成侵害的程度业务10.IAFE深度防御战略的三个层面不包括:A.人员B.法律C.技术D.运行11.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:A.“普密”、“商密”两个级别B.“低级”和“高级”两个级别-3-中电运行技术研究院C.“绝密”、“机密”、“秘密”三个级别D.“一密”、“二密”、“三密”、“四密”四个级别12.触犯新刑法285条规定的非法侵入计算机系统罪可判处A.三年以下有期徒刑或拘役B.1000元罚款C.三年以上五年以下有期徒刑D.10000元罚款13.以下关于我国信息安全政策和法律法规的说法错误的是:A.中办发【2003】27号文提出“加快信息安全人员培养,增强全民信息安全意识”B.2008年4月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》C.2007年我国四部委联合发布了《信息安全等级保护管理办法》D.2006年5月全国人大常委会审议通过了《中国人民共和国信息安全法》14.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?A.公安部B.国家保密局C.信息产业部D.国家密码管理委员会办公室15.VPN系统主要用来A.进行用户身份的鉴别B.进行用户行为的审计C.建立安全的网络通信D.对网络边界进行访问控制16.VPN技术无法实现以下哪个服务?A.身份验证B.传输加密C.完整性校验D.可用性校验17.组成IPSec的主要安全协议不包括以下哪一项?A.ESPB.DSSC.IKED.AH18.SSL协议比IPSEC协议的优势在于:A.实现简单、易于配置B.能有效的工作在网络层C.能支撑更多的应用层协议D.能实现更高强度的加密19.下面对于“电子邮件炸弹”的解释最准确的是:A.邮件正文中包含的恶意网站链接B.邮件附件中具有破坏性的病毒C.社会工程的一种方式,具有恐吓内容的邮件D.在短时间内发送大量邮件的软件,可以造成目标邮箱爆满20.电子邮件客户端通常需要用协议来发送邮件。A.仅SMTPB.仅POPC.SMTP和POPD.以上都不正确21.在应用层协议中,可使用传输层的TCP协议,又可用UDP协议。A.SNMPB.DNSC.HTTPD.FTP22.以下哪一项是伪装成有用程序的恶意软件?A.计算机病毒B.特洛伊木马C.逻辑炸弹D.蠕虫程序23.下列哪个是蠕虫的特征?-4-中电运行技术研究院A.不感染、依附性B.不感染、独立性C.可感染、依附性D.可感染、独立性24.杀毒软件报告发现病毒Macor.Melissa,由该病毒名称可以推断出病毒类型是。A.文件型B.引导型C.目录型D.宏病毒25.所谓网络内的机器遵循同一“协议”就是指:A.采用某一套通信规则或标准B.采用同一种操作系统C.用同一种电缆互连D.用同一种程序设计语言26.ICMP协议有多重控制报文,当网络出现拥塞时,路由器发出报文。A.路由重定向B.目标不可达C.源抑制D.子网掩码请求27.设备可以隔离ARP广播帧A.路由器B.网桥C.以太网交换机D.集线器28.下面哪类设备常用于识系统中存在的脆弱性?A.防火墙B.IDSC.漏洞扫描器D.UTM29.下列关于防火墙功能的说法最准确的是:A.访问控制B.内容控制C.数据加密D.查杀病毒30.某种防火墙的缺点是没有办法从非常细微之处来分析数据包,但它的优点是非常快,这种防火墙是以下的哪一种?A.电路级网关B.应用级网关C.会话层防火墙D.包过滤防火墙31.在包过滤型防火墙中,定义数据包过滤规则的是:A.路由表B.ARPC.NATD.ACL32.包过滤型防火墙对数据包的检查内容一般不包括。A.源地址B.目的地址C.协议D.有效载荷33.NAT技术不能实现以下哪个功能?A.对应用层协议进行代理B.隐藏内部地址C.增加私有组织的地址空间D.解决IP地址不足问题34.某单位想用防火墙对telnet协议的命令进行限制,应选在什么类型的防火墙?A.包过滤技术B.应用代理技术C.状态检测技术D.NAT技术35.以下哪一项不是IDS可以解决的问题?A.弥补网络协议的弱点B.识别和报告对数据文件的改动C.统计分析系统中异常活动的模式D.提升系统监控能力36.从分析式上入侵检测技术可以分为:A.基于标志检测技术、基于状态检测技术B.基于异常检测技术、基于流量检测技术C.基于误用检测技术、基于异常检测技术D.基于标志检测技术、基于误用检测技术37.一台需要与互联网通信的WEB服务器放在以下哪个位置最安全?-5-中电运行技术研究院A.在DMZ区B.在内网中C.和防火墙在同一台计算机上D.在互联网防火墙外38.以下哪个入侵检测技术能检测到未知的攻击行为?A.基于误用的检测技术B.基于异常的检测技术C.基于日志分析的技术D.基于漏洞机理研究的技术39.做渗透测试的第一步是:A.信息收集B.漏洞分析与目标选定C.拒绝服务攻击D.尝试漏洞利用40.监听网络流量获取密码,之后使用这个密码试图完成未经授权访问的攻击方式被称为:A.穷举攻击B.字典攻击C.社会工程攻击D.重放攻击41.下面哪一项是社会工程?A.缓冲器溢出B.SQL注入攻击C.电话联系组织机构的接线员询问用户名和口令D.利用PK/CA构建可信网络42.“TCPSYNFlooding”建立大量处于半连接状态的TCP连接,其攻击目标是网络的。A.保密性B.完整性C.真实性D.可用性43.通过反复尝试向系统提交用户名和密码以发现正确的用户密码的攻击方式称为:A.账户信息收集B.密码分析C.密码嗅探D.密码暴力破解44.下列保护系统账户安全的措施中,哪个措施对解决口令暴力破解无帮助?A.设置系统的账户锁定策略,在用户登录输入错误次数达到一定数量时对账户进行锁定B.更改系统内宣管理员的用户名C.给管理员账户一个安全的口令D.使用屏幕保护并设置返回时需要提供口令45.关闭系统中不需要的服务主要目的是:A.避免由于服务自身的不稳定影响系统的安全B.避免攻击者利用服务实现非法操作从而危害系统安全C.避免服务由于自动运行消耗大量系统资源从而影响效率D.以上都是46.某系统被攻击者入侵,初步怀疑为管理员存在弱口令,攻击者从远程终端以管理员身份登录进系统进行了相应的破坏,验证此事应查看:A.系统日志B.应用程序日志C.安全日志D.IIS日志47.U盘病毒的传播是借助Windows系统的什么功能实现的?A.自动播放B.自动补丁更新C.服务自启动D.系统开发漏洞48.保护数据安全包括保密性、完整性和可用性,对于数据的可用性解决方法最有效的是:A.加密B.备份C.安全删除D.以上都是49.在Windows系统中,管理权限最高的组是:A.everyoneB.administratorsC.powerusersD.users50.Windows系统下,可通过运行命令打开Windows管理控制台。-6-中电运行技术研究院A.regeditB.cmdC.mmcD.mfc51.在Windows文件系统中,支持文件加密。A.FAT16B.NTFSC.FAT32D.EXT352.在window系统中用于显示本机各网络端口详细情况的命令是:A.netshowB.netstatC.ipconfigD.netview53.视窗操作系统(Windows)从哪个版本开始引入安全中心的概念?A.WinNTSP6B.Win2000SP4C.WinXPSP2D.Win2003SP154.在WindowsXP中用事件查看器查看日志文件,可看到的日志包括?A.用户访问日志、安全性日志、系统日志和IE日志B.应用程序日志、安全性日志、系统日志和IE日志C.网络攻击日志、安全性日志、记账日志和IE日志D.网络链接日志、安全性日志、服务日志和IE日志55.关于数据库注入攻击的说法错误的是:A.它的主要原因是程序对用户的输入缺乏过滤B.一般情况下防火培对它无法防范C.对它进行防范时要关注操作系统的版本和安全补丁D.注入成功后可以获取部分权限56.专门负责数据库管理和维护的计算机软件系统称为:A.SQL-MSB.INFERENCECONTROLC.DBMSD.TRIGGER-MS57.下列哪一项与数据库的安全直接相关?A.访问控制的粒度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量58.信息安全风险的三要素是指:A.资产/威胁/脆弱性B.资产/使命/威胁C.使命/威胁/脆弱性D.威胁/脆弱性/使命59.以下哪一项是已经被确认了的具有一定合理性的风险?A.总风险B.最小化风险C.可接受风险D.残余风险60.统计数据指出,对大多数计算机系统来说,最大的威胁是:A.本单位的雇员B.黑客和商业间谍C.未受培训的系统用户D.技术产品和服务供应商61.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?A.部门经理B.高级管理层C.信息资产所有者D.最终用户62.风险评估方法的选定在PDCA循环中的哪个阶段完成?-7-中电运行技术研究院A.实施和运行B.保持和改进C.建立D.监视和评审63.下列安全协议中,可用于安全电子邮件加密。A.PGPB.SETC.SSLD.TLS64.HTTPS采用协议实现安全网站访问。A.SSLB.IPSecC.PGPD.SET65.信息安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度,信息系统安全保护等级分为:A.3级B.4级C.5级D.6级66.以下关于最小特权安全管理原则理解正确的是:A.组机构内的敏感岗位不能由一个人长期负责B.对重要的工作进行分解,分配给不同人员完成C.一个人有且仅有其执行岗位所足够的许可和权限D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限67.是目前国际通行的信息技术产品安全性评估标准?A.TCSECB.ITSECC.CCD.IATF68.下面哪个不是ISO27000系列包含的标准?A.《信息安全管理体系要求》B.《信息安全风险管理》C.
本文标题:CISM题库(250题含答案)
链接地址:https://www.777doc.com/doc-6852731 .html