信息安全考试题目

1、信息安全考试题目机构名称：所属部门： 考生姓名：注意事项：本试卷满分 100 分，考试时间 80 分钟。一、单选题（ 20题，每题 2分，共 40 分）1、 为尽量防止通过浏览网页感染恶意代码， 下列做法中错误的是 （）A. 不使用 IE 浏览器，而使用 FireFox （火狐）之类的第三方浏览器B. 关闭 IE 浏览器的自动下载功能C. 禁用 IE 浏览器的活动脚本功能D. 先把网页保存到本地再浏览2、 下列说法正确的是（）。A. “灰鸽子”是一种很便捷的互联网通讯小工具B. Nimda是一种蠕虫病毒C. CIH病毒可以感染 WINDOWS 9也可以感染 WINDOWS 2000D. 世界上

2、最早的计算机病毒是小球病毒3、下列不属于信息系统面临的威胁是（）A.软硬件故障B.制度未定期评审C.拒绝服务D.雷雨警告你最近出现了一个可怕）4、如果你刚收到一封你同事转发过来的电子邮件， 的新病毒，你应先考虑做下面哪件事情？（A. 将这个消息传给你认识的每个人B. 用一个可信赖的信息源验证这个消息C. 将你的计算机从网络上断开D. 升级你的病毒库5、下面哪项不属于黑客攻击的基本手法？（B ）A. 踩点B. 加固系统安全C. 扫描D. 安装后门6、当面临一堆数据资产时，谁最有发言权决定面前这堆数据的该怎么分类？ （）A. 部门主管B. 高级管理层C. 运维和保护这堆数据的数据所有者D. 这堆数

3、据的日常使用者7、一般情况下，哪类群体容易诱发公司的信息安全风险？（）A. 公司的雇员B. 社会上的黑客C. 恐怖分子D. 公司的服务商 / 集成商8、当对数据进行分类时，数据所有者首先最应该考虑什么？（）A. 首先考虑哪些雇员、客户、集成商 / 服务商都分别应该访问哪些数据B. 首先考虑清楚并确定这些数据的三性（机密性、完整性、可用性）C. 首先考虑数据面临什么样的威胁D. 首先考虑数据的访问控制策略9、在您所知的信息系统所有认证方式中， 下列对于口令认证方式描述正确的是（ ）。A. 它是最便宜和提供最强安全防护能力的B. 它是最昂贵和提供最强安全防护能力的C. 它是最昂贵和提供最弱安全防护

4、能力的D. 它是最便宜和提供最弱安全防护能力的10、谁最终负责确定数据分类的正确性和保护措施的合理性？（）A. 客户B. 高级管理层C. 运维和保护这堆数据的数据所有者D. 这堆数据的日常使用者11、什么时候可以决定不对某个风险项进行处置？（）A. 不会发生这种情况的，我们公司会逐项确认并整改所有风险项B. 因某方面的潜规则要求从而不确认某个风险项时C. 为了处置某一风险项而将要实施的整改措施较为复杂时D. 处置风险所付出的代价超过实际威胁造成的损失时12、当公司机房发生火灾时，您觉得首先应该做什么？（）A. 关掉电闸并查看消防装置状态是否正常B. 辨别火势和起火原因C. 抢救机房内重要资产和

5、贵重物品D. 向楼内所有员工发出告警并组织疏散13、下面哪个不是实施风险分析的目的？（）A. 分担责任B. 明晰威胁可能造成的影响C. 识别风险及其等级D. 明确风险的危害并找出各种对策14、关于计算机网络访问安全不正确的描述是（）。A. 系统管理员不必对其他用户的访问权限进行检查B. 访问控制基本原则：未经明确允许即为禁止访问C. 必须通过唯一注册的用户 ID 来控制用户对网络的访问D. 系统管理员必须确保用户访问基于最小特权原则而授权15、对于“风险评估过程中，我们是否有必要让各个部门都参与进来”这句话 的思考，下面哪项最为正确？（ ）A. 为了确保风险评估过程的公平，为了确保每个人员都未

6、被排除在外，我们应 该这样做。B. 我们不需要。我们只要让一部分风险评估的专业人员（如咨询公司）来做就 行，风险评估使用的数据有用与否、偏颇与否不会影响风险分析的。C. 公司面临风险的数据应从最理解公司业务和环境的人群中取得， 而每个部门 恰恰能很好的理解他们自己的资源和风险， 并且他们很可能已经知道特定风 险的解决方案。所以应该让大家参与进来。D. 因为各部门的雇员也可能是各类风险的诱发者，所以应该让他们参与进来。16、人员安全不包括（）。A. 背景检查B. 技能意识培训C. 系统测试流程D. 绩效考核和奖惩17、下面的说法正确的是（）A. 信息的泄漏只在介质的传递过程中发生B. 信息的泄漏

7、只在介质的存储过程中发生C. 信息的泄漏只在介质的传递和存储过程中发生D. 上面三个都不对18、物理安全的管理应做到（）。A. 访客进入内部需持临时卡并由相关人员陪同B. 办公区域应具备门禁设施C. 在重要场所的迸出口安装监视器，并对进出情况进行录像D. 以上均正确19、信息不能被未授权的个人，实体或者过程利用或知悉的特性，指的是信息资产（ ）A. 可用性B. 保密性C. 完整性D. 源发性20、含有重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员 离开时，以下存放方式错误的是（ ）。A. 锁在文件柜B. 锁在保险柜C. 放在带锁的抽屉D. 随意放在桌子上 二、不定项选择题（ 15

8、题，每题 4 分，共 60分）1、关于恶意代码防范策略描述正确的是（）。A. 计算机必须部署指定的防病毒软件B. 防病毒软件必须持续更新C. 感染病毒的计算机不能从网络中断开， 要先从网络中获取最新的病毒防范版D. 发生任何病毒传播事件，相关人员自己先解决，解决不了再向 IT 管理部门 汇报2、关于口令的描述正确的是（）。A. 用户名 +口令是最简单也最常用的身份认证方式B. 口令是抵御攻击的第一道防线，防止冒名顶替C. 口令与个人隐私息息相关，必须慎重保护D. 由于使用不当，往往使口令成为最薄弱的安全环节3、信息资产的三性包括（）。A. 可用性B. 机密性C. 完整性D. 源发性4、哪些属于

9、信息安全中禁止的行为（）。A. 发现信息安全事故或薄弱点，及时知会责任部门B. 随意安装未经公司确认的软件C. 在互联网上发送未经处理的口令或其他敏感信息D. 出于便捷或其他目的，在未经申报的情况下，信息系统的特权用户为自己临 时新建其他帐户5、信息的存在形式包括（）。A. 打印或写在纸上B. 以电子方式存储C. 用邮寄或电子方式传送D. 用语言表达E. 呈现在胶片上6、关于资产、威胁和薄弱点三者的关系描述正确的有（）A. 资产具有价值B. 薄弱点将资产暴露给威胁，威胁利用薄弱点对资产造成潜在影响C. 一个薄弱点对应一个威胁D. 一个资产可能面临多个威胁，一个威胁可能利用多个薄弱点7、第三方均

10、指本部门员工以外的其他组织和其他人员，即外来者，第三方的分 类主要包括有（ ）。A. 常驻本部门的项目开发人员（该人员隶属于开发外包单位）B. 本部门处于实习期 / 试用期的雇员C. 设备厂商技术人员D. 货运接送或销售人员等E. 行业监管机构（如保监会）8、备份工作主要保证了信息和系统的（）。A. 完整性B. 可用性C. 保密性D. 符合性9、对发生以下情况对其访问权应予以注销（）A. 内部用户雇佣合同终止时B. 雇员带薪休假时C. 第三方访问合同终止时D. 内部用户因岗位调整不再需要此项访问服务时10、重大信息安全事件发生后我们应当（）。A. 妥善处理各相关事宜以降低损失B. 在确定时限内

11、恢复信息系统C. 分析原因，做好记录D. 明确责任人11、时至今日，您觉得随意使用移动媒体可能会带来哪些风险？（）A. 机密信息被拷贝B. 引入非法应用程序C. 引入病毒及恶意代码D. 引起硬件损坏12、口令使用的好习惯包括（）。A. 口令应该越简单越好B. 口令应该经常更改C. 初始口令设置不得为空D. 难记的口令写在纸上并压在键盘底下以备随时查阅13、发送邮件我们应当注意（）。A. 如果同样的内容可以用普通文本正文，就不要用附件B. 发送不安全的文件之前，先进行病毒扫描C. 不要参与所谓的邮件接龙D. 尽量不要发送 .doc, .xls 等可能带有宏病毒的文件14、防范第三方人员通过社会工程学方式入侵公司信息系统，我们应