1、信息安全考试题目信息安全考试题目机构名称:所属部门:考生姓名:注意事项:本试卷满分100分,考试时间80分钟。一、单选题(20题,每题2分,共40分)1、为尽量防止通过浏览网页感染恶意代码,下列做法中错误的是()。A.不使用IE浏览器,而使用FireFox(火狐)之类的第三方浏览器B.关闭IE浏览器的自动下载功能C.禁用IE浏览器的活动脚本功能D.先把网页保存到本地再浏览2、下列说法正确的是()。A.“灰鸽子”是一种很便捷的互联网通讯小工具B.Nimda是一种蠕虫病毒C.CIH病毒可以感染WINDOWS 98也可以感染WINDOWS 2000D.世界上最早的计算机病毒是小球病毒3、下列不属于信
2、息系统面临的威胁是()。A.软硬件故障B.制度未定期评审C.拒绝服务D.雷雨4、如果你刚收到一封你同事转发过来的电子邮件,警告你最近出现了一个可怕的新病毒,你应先考虑做下面哪件事情?()A.将这个消息传给你认识的每个人B.用一个可信赖的信息源验证这个消息C.将你的计算机从网络上断开D.升级你的病毒库5、下面哪项不属于黑客攻击的基本手法?(B)A.踩点B.加固系统安全C.扫描D.安装后门6、当面临一堆数据资产时,谁最有发言权决定面前这堆数据的该怎么分类?()A.部门主管B.高级管理层C.运维和保护这堆数据的数据所有者D.这堆数据的日常使用者7、一般情况下,哪类群体容易诱发公司的信息安全风险?()
3、A.公司的雇员B.社会上的黑客C.恐怖分子D.公司的服务商/集成商8、当对数据进行分类时,数据所有者首先最应该考虑什么?()A.首先考虑哪些雇员、客户、集成商/服务商都分别应该访问哪些数据B.首先考虑清楚并确定这些数据的三性(机密性、完整性、可用性)C.首先考虑数据面临什么样的威胁D.首先考虑数据的访问控制策略9、在您所知的信息系统所有认证方式中,下列对于口令认证方式描述正确的是()。A.它是最便宜和提供最强安全防护能力的B.它是最昂贵和提供最强安全防护能力的C.它是最昂贵和提供最弱安全防护能力的D.它是最便宜和提供最弱安全防护能力的10、谁最终负责确定数据分类的正确性和保护措施的合理性?(A
4、.客户B.高级管理层C.运维和保护这堆数据的数据所有者D.这堆数据的日常使用者11、什么时候可以决定不对某个风险项进行处置?()A.不会发生这种情况的,我们公司会逐项确认并整改所有风险项B.因某方面的潜规则要求从而不确认某个风险项时C.为了处置某一风险项而将要实施的整改措施较为复杂时D.处置风险所付出的代价超过实际威胁造成的损失时12、当公司机房发生火灾时,您觉得首先应该做什么?(A.关掉电闸并查看消防装置状态是否正常B.辨别火势和起火原因C.抢救机房内重要资产和贵重物品D.向楼内所有员工发出告警并组织疏散13、下面哪个不是实施风险分析的目的?()A.分担责任B.明晰威胁可能造成的影响C.识别
5、风险及其等级)D.明确风险的危害并找出各种对策14、关于计算机网络访问安全不正确的描述是()。A.系统管理员不必对其他用户的访问权限进行检查B.访问控制基本原则:未经明确允许即为禁止访问C.必须通过唯一注册的用户ID来控制用户对网络的访问D.系统管理员必须确保用户访问基于最小特权原则而授权15、对于“风险评估过程中,我们是否有必要让各个部门都参与进来”这句话的思考,下面哪项最为正确?()A.为了确保风险评估过程的公平,为了确保每个人员都未被排除在外,我们应该这样做。B.我们不需要。我们只要让一部分风险评估的专业人员(如咨询公司)来做就行,风险评估使用的数据有用与否、偏颇与否不会影响风险分析的。
6、C.公司面临风险的数据应从最理解公司业务和环境的人群中取得,而每个部门恰恰能很好的理解他们自己的资源和风险,并且他们很可能已经知道特定风险的解决方案。所以应该让大家参与进来。D.因为各部门的雇员也可能是各类风险的诱发者,所以应该让他们参与进来。16、人员安全不包括()。A.背景检查B.技能意识培训C.系统测试流程D.绩效考核和奖惩17、下面的说法正确的是()。A.信息的泄漏只在介质的传递过程中发生B.信息的泄漏只在介质的存储过程中发生C.信息的泄漏只在介质的传递和存储过程中发生D.上面三个都不对18、物理安全的管理应做到()。A.访客进入内部需持临时卡并由相关人员陪同B.办公区域应具备门禁设施
7、C.在重要场所的迸出口安装监视器,并对进出情况进行录像D.以上均正确19、信息不能被未授权的个人,实体或者过程利用或知悉的特性,指的是信息资产()。A.可用性B.保密性C.完整性D.源发性20、含有重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时,以下存放方式错误的是()。A.锁在文件柜B.锁在保险柜C.放在带锁的抽屉D.随意放在桌子上二、不定项选择题(15题,每题4分,共60分)1、关于恶意代码防范策略描述正确的是()。A.计算机必须部署指定的防病毒软件B.防病毒软件必须持续更新C.感染病毒的计算机不能从网络中断开,要先从网络中获取最新的病毒防范版本D.发生任何病毒传播事件
8、,相关人员自己先解决,解决不了再向IT管理部门汇报2、关于口令的描述正确的是()。A.用户名+口令是最简单也最常用的身份认证方式B.口令是抵御攻击的第一道防线,防止冒名顶替C.口令与个人隐私息息相关,必须慎重保护D.由于使用不当,往往使口令成为最薄弱的安全环节3、信息资产的三性包括()。A.可用性B.机密性C.完整性D.源发性4、哪些属于信息安全中禁止的行为()。A.发现信息安全事故或薄弱点,及时知会责任部门B.随意安装未经公司确认的软件C.在互联网上发送未经处理的口令或其他敏感信息D.出于便捷或其他目的,在未经申报的情况下,信息系统的特权用户为自己临时新建其他帐户5、信息的存在形式包括()。
9、A.打印或写在纸上B.以电子方式存储C.用邮寄或电子方式传送D.用语言表达E.呈现在胶片上6、关于资产、威胁和薄弱点三者的关系描述正确的有()。A.资产具有价值B.薄弱点将资产暴露给威胁,威胁利用薄弱点对资产造成潜在影响C.一个薄弱点对应一个威胁D.一个资产可能面临多个威胁,一个威胁可能利用多个薄弱点7、第三方均指本部门员工以外的其他组织和其他人员,即外来者,第三方的分类主要包括有()。A.常驻本部门的项目开发人员(该人员隶属于开发外包单位)B.本部门处于实习期/试用期的雇员C.设备厂商技术人员D.货运接送或销售人员等E.行业监管机构(如保监会)8、备份工作主要保证了信息和系统的()。A.完整
10、性B.可用性C.保密性D.符合性9、对发生以下情况对其访问权应予以注销()。A.内部用户雇佣合同终止时B.雇员带薪休假时C.第三方访问合同终止时D.内部用户因岗位调整不再需要此项访问服务时10、重大信息安全事件发生后我们应当()。A.妥善处理各相关事宜以降低损失B.在确定时限内恢复信息系统C.分析原因,做好记录D.明确责任人11、时至今日,您觉得随意使用移动媒体可能会带来哪些风险?()A.机密信息被拷贝B.引入非法应用程序C.引入病毒及恶意代码D.引起硬件损坏12、口令使用的好习惯包括()。A.口令应该越简单越好B.口令应该经常更改C.初始口令设置不得为空D.难记的口令写在纸上并压在键盘底下以
11、备随时查阅13、发送邮件我们应当注意()。A.如果同样的内容可以用普通文本正文,就不要用附件B.发送不安全的文件之前,先进行病毒扫描C.不要参与所谓的邮件接龙D.尽量不要发送.doc, .xls等可能带有宏病毒的文件14、防范第三方人员通过社会工程学方式入侵公司信息系统,我们应当注意()。A.不轻易泄漏敏感信息B.在相信任何人之前,先校验其真实的身份C.不违背公司的安全策略D.积极配合来自电话、邮件的任何业务要求,即便是马上提供本人的口令信息15、刑法第285条规定,对实施计算机信息系统犯罪的处罚包括()。A.社区/街道服务1个月B.处三年以下有期徒刑或者拘役C.处罚金D.处三年以上七年以下有期徒刑
