CISAW-hsp认证培训测试卷及答案

1、CISAW-hsp认证培训测试卷及答案1. 当应用程序直接使用或连接具有文件或流功能的潜在恶意输入时，会发生哪种漏洞？ A、执行恶意程序B、注入漏洞C、不安全的直接对象引用D、跨站点请求伪造2. 以下哪一个不属于软件安全开发的问题。 A、密钥被破解B、登录页面被绕过C、错误提示信息过于详细D、SQL注入漏洞3. 在Windows中，用户登录系统状态可以在哪个日志中查看： A、系统日志B、应用日志C、 安全日志D、IE日志4. 以下哪一个命令可以用来查看端口开放状态 A、PingB、IpconfigC、Net ViewD、Netstat5. 王女士使用家里的WIFI进 行手机购物，在需要支付的时

2、候发现用来购物的银行卡上余额不足，于是王女士打开手机网银对自己的银行卡进行转账，在输入正确的用户名和密码之后发现无法登 陆手机网银，过了没多久王女士发现银行发来了验证码并要求将验证码回填到网银的验证码窗口，她将验证码填入之后没多久就收到了银行卡金额被转走的短信提 示。请问王女士最可能遭受了什么攻击？ A、拒绝服务攻击B、网银密码暴力破解攻击C、路由器DNS被污染导致访问了钓鱼网站D、TCP会话被篡改6. 以下的拒绝服务攻击方法中哪一种并不是企图耗尽系统资源的方法？ A、利用MIRAI病毒控制的僵尸网络发起大量的UDP请求B、Smurf攻击C、死亡之ping(ping to death)D、AR

3、P泛洪7. 小王在登陆免费邮箱时通过访问邮箱web网站()输入用户名和密码的方式进行登陆，请问在这个过程中他实现了哪种鉴别？ A、单向鉴别B、 混合鉴别C、双向鉴别D、第三方鉴别8. 以下哪项不是分布式拒绝服务攻击难以防范的主要原因？ A、攻击技术手段过于先进B、攻击流量和正常访问流量不容易区分C、攻击流量过大D、组织在应急上不够重视，当攻击发生时难以形成与外部各方的联动9. 2017年，“永恒之蓝”勒索病毒感染了众多的组织机构，在以下的防范方式中，相比之下哪种方式是最应该被贯彻执行的？ A、尽量不使用外部数据文件B、给操作系统管理员设置足够复杂的密码C、及时更新杀毒软件的病毒库D、及时更新操

4、作系统的安全补丁10. 如果要应对ARP欺骗，以下哪项措施不太适合？ A、在网络中的节点交换机做MAC地址和端口的对应绑定B、在网络中的终端中设置静态ARP缓存C、使用ARP病毒防护程序D、对网关防火墙设置规则只允许特定IP地址接入11. 以下哪项攻击方式不是蓝牙和RFID技术共同存在的？ A、拒绝服务攻击B、暴力破解攻击C、中间人攻击D、弱PIN码攻击12. 小张是单位的IT运维，主要负责单位内网信息发布Web服务器的日常运行维护工作，有一天他维护的Web服务器中了勒索病毒，经安全专家检查，病毒的来源是小张的工作用笔记本电脑，小张回忆了他最近两天的使用行为，请问以下哪个他的使用行为最可能造成

5、单位的Web服务器遭受勒索病毒的感染？ A、小张从单位信息安全部门的FTP服务器上下载了Web应用软件的最新程序补丁安装在Web服务器上B、小张在工作电脑上打开过常玩的网络游戏客户端并在最近两天更新过一次官方补丁C、小张在工作电脑上打开过自己的免费邮箱查看过一些邮件，其中包括来自老同学的结婚喜贴和来自信用卡中心的账单邮件D、小张最近两天更新过工作电脑的杀毒软件的病毒库13. 对应网络安全等级保护2.0技术要求，安全管理中心可以对应IATF哪一个焦点领域 A、网络基础设施B、计算环境安全C、区域边界D、支撑性基础设施14. 一栋5层的建筑中，哪层最适合安置信息处理设施？ A、1楼B、地下室C、3

6、-4 层D、5楼15. 瞬时的高压称为 B、电力故障C、浪涌D、尖峰D、断电16. 下列哪项不属于物理安全防御的主要风险 A、尾随B、DOS攻击C、盗窃D、火灾17. 信息安全管理中，对于安全违规人员的正式纪律处理过程中必不可少的活动是？ A、警告与罚款B、就违规的详情向所有人员通报C、评估违规对业务造成的影响18. 以下不属于信息安全事态或事件的是 A、服务、设备或设施的丟失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知19. 信息安全管理体系中提到的“资产责任人”是指。 A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人20.

7、 机房里过低的湿度会引起 A、静电B、短路C、空调故障D、电源故障21. 在信息安全管理中进行( )，可以有效解决人员安全意识薄弱问题 A、内容监控B、安全教育和培训C、责任追查和惩处D、访问控制22. 小明因为担心受到DDoS攻击，决定停止一些非必要的在线患者服务系统。小明在患者服务系统服务方面采取了什么样的风险管理策略？ A、规避风险B、降低风险C、转移风险D、接受风险23. 企业安全包括三个主要领域是 A、信息安全; 人员安全; 物理和环境安全B、人员安全、物理和环境安全、管理安全C、信息安全; 业务连续性; 物理和环境安全D、物理环境安全、数据安全、运营安全24. 以下针对网络安全法在

8、数据收集中做法错误的是( ) A、网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意B、电子病历数据属于医院电子资产，有关病历修改无需告知用户C、网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意D、网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集25. 健康医疗数据不包括 A、个人属性数据B、健康状况数据C、医疗应用数据D、医务人员数据26. 健康医疗信息安全实施步骤中检查活动不包括： A、检查过程纳入监管B、监控安全工作过程，包括实施选定的安

9、全措施的过程C、实施风险处置方案，包括实施选定的安全措施D、根据情况实施自查，或是请第三方检查机构进行检查27. 个人信息控制者经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守以下要求不包括。 A、事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施B、向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意C、公开披露个人生物识别信息D、公开披露个人敏感信息前，除个人信息安全规范标准中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容28. 在信息安全技术 个人信息安全规范中组织管理要求不包括： A、明确责任部门与人员B、明确

10、数据分类分级C、开展个人信息安全影响评估D、数据安全能力29. 以下内容不属于个人信息保存的是： A、去标识化处理B、个人敏感信息的传输与存储C、个人信息的访问控制措施D、保存时间最小化30. 信息安全技术个人信息安全规范 中所包含的个人敏感信息是： A、个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、 手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以 往病史、诊治情况、家族病史、现病史、传染病史等B、指通过日志储存的用户操作记录，包括网站浏览记录、软件使用记录、点击记录等C、硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如 IMEI/andro

11、id ID/IDFA/OPENUDID/GUID、SIM 卡 IMSI 信息等)等在内的描 述个人常用设备基本情况的信息D、虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息31. 以下哪些不属于健康医疗信息安全指南中所规定的医疗应用数据 A、既往病史、社会史、家族史、症状、健康体检数据B、医嘱单、检验报告、诊断结果C、用药信息、病程记录、诊治记录D、用药记录、手术记录、护理记录32. 个人健康医疗信息主体有权对健康医疗信息控制者或其业务伙伴使用或披露其信息的情况进行历史回溯查询，最短回溯期为( )年 A、三B、四C、五D、六33. 以下不属于国家网络安全战略目标的是( ) A、和平和安全B、统筹

12、和利用C、有序E、开放和合作34. 我国医院信息化从( )开始起步 A、20世纪60年代初至70年代初期B、70年代中期-80年代中期C、20世纪80年代末-90年代中期D、20世纪90年代-至今35. 数字卫生涵盖的业务领域不包括： A、医疗服务B、远程医疗服务C、社区服务、公共卫生服务D、综合管理服务36. 全国医院信息化建设标准与规范指标体系图中包含内容说法正确的是： A、全国医院信息化建设标准与规范指标体系图中包含内容说法正确的是：B、信息平台、基础设施、安全防护、新兴技术C、基础设施、安全防护、新兴技术D、业务应用、信息平台、基础设施、安全防护、新兴技术37. 在医疗信息化中，HIS

13、属于哪一个领域： A、医院信息化B、区域卫生信息化C、互联网医疗D、互联网医疗38. 移动互联网终端环境安全威胁不包括 A、手机丢失或被窃B、非法跟踪窃听C、非法使用手机D、终端位置的暴露39. 身份认证、权限管理和( )是保证移动互联网安全的重要技术之一 A、数据安全B、资源管控C、杀毒技术D、防火墙40. IOS系统的内核是： A、appleB、LinuxC、UNIXD、Windows NT41. 以下有关物联网安全在医疗行业有意义的安全建议是： A、使用最新的人工智能技术B、在设备上保持“负载即检测”C、隔离即安全D、严格使用厂商提供的默认密码42. 在大数据的生产和采集阶段所要关注的安

14、全问题是 A、合法性与业务实例B、隐私保护C、基于视图的展现D、内部泄露43. 按照我国等级保护标准及卫生行业信息安全等级保护工作的指导意见的要求，某市级三甲医院的系统哪个可以不是三级： A、HIS系统B、PACS系统C、EMR系统D、医院OA系统44. 造成硬件故障常见的原因不包括 A、硬件的使用寿命限制B、配置问题C、硬件质量问题D、因为断电、雷击等意外事故45. 保障医疗信息系统的安全简单来说就是建立“一个中心”，“一个中心”指的是： A、安全管理中心B、业务处理中心C、保护保障中心D、安全运营中心46. 造成数据被破坏的原因主要有: A、软、硬件B、黑客攻击C、病毒D、以上均是47.

15、发生灾难后，数据可以恢复到的时间点，也是业务系统所能容忍的数据丢失量，被称为 A、NROB、RTOC、RPOD、DRO48. 对于口令设置，下面说法错误的是： A、不同的系统要使用不同的口令B、设置口令的一个原则是：自己好记，别人不好猜C、长度超过8位且包括数据、字母、特殊符号的口令就是强口令D、不要设置键盘上相临的键或单词做为口令49. 临 床管理信息系统(HCIS, Hospital Communication and Information System)是整个医院信息系统中非常重要的一个部分，其中， ( )是CIS系统的核心 A、检验信息系统(LIS)B、电子病历系统C、分诊管理系统D

16、、门急诊挂号系统50. 在全国医院信息化建设标准与规范(试行)中，建议的内外网隔离的产品是： A、网闸B、防火墙C、交换机D、VPN51. 保障医疗信息系统安全简单来说就是建立“一个中心，三重保护，四个层面，六类机制”，请问以下哪项属于“四个层面”中对主机安全的保护？ A、部署防火墙设备B、部署网络入侵检测设备C、部署网页防篡改措施D、部署分布式杀毒软件52. 以下哪一个不是常见的引起操作系统出错的原因 A、机房温度过高导致的操作系统崩溃B、操作系统自身的BUGC、软件冲突引起的系统崩溃D、软件冲突引起的系统崩溃53. 根据等保规定，备份时，要备份的内容是： A、重要的业务数据B、系统数据C、

17、软件系统D、以上全部54. 针对勒索病毒，下列描述错误的是： A、杀毒软件可以清除勒索病毒，但不解密被加密的文件B、勒索病毒一般要求通过比特币或达世币等匿名货币进行支付C、只要系统及时到最新版本就不会被勒索病毒感染D、再严格的防范都不可能完全避免联网的电脑被勒索病毒感染，因此一定要做好数据的离线备份工作55. 小王是医院信息中心的系统管理员，为了防范勒索病毒的攻击，他对全院终端制定了以下规则，请指出规则中不太适合的一条。 A、对所有USB端口做严格设备准入管控，对用不上的端口做物理封堵B、对交换机，路由器做策略封堵136到1024的所有端口C、部署内网补丁分发服务器，及时进行操作系统补丁更新下

18、发D、在内网禁用共享目录，需要传输文件使用FTP等其他的方式共享56. 2018年4月28日，国家卫生健康委员会规划与信息司发布全国医院信息化建设标准与规范(试行)，其中对于本地数据备份与恢复的要求中，对于三级甲等医院的关键业务信息系统的本地应用和数据恢复时间目标(RTO)和恢复点目标(RPO)的要求分别是什么？ A、RTO30 分钟，RPO15分钟B、RTO20 分钟， RPO15 分钟C、RTO15 分钟，RPO10 分钟D、 RTO=0，RPO=057. 常见的Widnows日志中，默认排序是按照 A、事件序列B、时间C、类型58. 在DBMS系统中，事务日志的作用是 A、审计B、数据库

19、缓存C、交互D、回滚59. 数字化医疗的基础是： A、医疗设备的数字化B、医疗设备的网络化C、医院管理的信息化D、医疗服务的个性化60. 2018年4月28日，国家卫生健康委员会规划与信息司发布全国医院信息化建设标准与规范(试行)，其中对于本地数据备份与恢复的要 求中，对于三级甲等医院的关键业务信息系统的本地应用和数据恢复时间目标(RTO)和恢复点目标(RPO)的要求分别是什么？ A、RTO30 分钟，RPO15分钟B、RTO20 分钟， RPO15 分钟C、RTO15 分钟，RPO10 分钟D、RTO=0，RPO=061. 身份认证、权限管理和( )是保证移动互联网安全的重要技术之一。 A、

20、数据安全B、资源管控C、杀毒技术D、防火墙62. 医疗健康数据的基本情况不包括以下哪项？() A、个人健康管理数据B、健康档案数据C、公共安全数据D、诊疗数据63. 以下有关物联网安全在医疗行业有意义的安全建议是：() A、使用最新的人工智能技术B、在设备上保持“负载即检测”C、隔离即安全D、严格使用厂商提供的默认密码64. 云服务提供商通过共享基础架构，平台或应用程序来扩展其服务。可能会导致以下哪一种云风险() A、APTB、共享技术漏洞C、数据丢失D、恶意使用云服务65. 在全国医院信息化建设标准与规范(试行)中，建议的内外网隔离的产品是：() A、网闸B、防火墙C、交换机D、VPN66.

21、 造成硬件故障常见的原因不包括() A、硬件的使用寿命限制B、配置问题C、硬件质量问题D、因为断电、雷击等意外事故67. 保障医疗信息系统的安全简单来说就是建立“一个中心”，“一个中心”指的是：() A、安全管理中心B、业务处理中心C、保护保障中心D、安全运营中心68. 造成数据被破坏的原因主要有:() A、软、硬件B.黑客攻击C.病毒D.以上均是69. 对于口令设置，下面说法错误的是：() A、不同的系统要使用不同的口令。B、设置口令的一个原则是：自己好记，别人不好猜。C、长度超过8位且包括数据、字母、特殊符号的口令就是强口令。D、不要设置键盘上相临的键或单词做为口令。70. 以下哪一个不是

22、常见的引起操作系统出错的原因() A、机房温度过高导致的操作系统崩溃B.自身的BUGC.软件冲突引起的系统崩溃D.盗版引起的系统崩溃71. 电子病历应用中受到最大质疑的就是安全性问题，哪一项不是建立电子病历的安全方法。() A、数据传输步骤采取加密措施B、建立电子病历的授权认证机制C、采用第三方机构发放的包含时间信息的电子证书D、电子病历系统身份鉴别采取一种鉴别方式。72. 小王是医院信息中心的系统管理员，为了防范勒索病毒的攻击，他对全院终端制定了以下规则，请指出规则中不太适合的一条。() A、对所有USB端口做严格设备准入管控，对用不上的端口做物理封堵B.对交换机，路由器做策略封堵136到1

23、024的所有端口C.部署内网补丁分发服务器，及时进行操作系统补丁更新下发D.在内网禁用共享目录，需要传输文件使用FTP等其他的方式共享73. 保障医疗信息系统安全简单来说就是建立“一个中心，三重保护，四个层面，六类机制”，请问以下哪项属于“四个层面”中对主机安全的保护？() A、部署防火墙设备B、部署网络入侵检测设备C、部署网页防篡改措施D、部署分布式杀毒软件74. 以下哪项不是医疗信息化发展阶段之一？() A、医院管理和临床信息化B、区域医疗卫生信息化C、个人健康管理信息化D、电子病历信息化75. 发生灾难后，数据可以恢复到的时间点，也是业务系统所能容忍的数据丢失量，被称为() A、NROB

24、、RTOC、RPOD、DRO76. 针对勒索病毒，下列描述错误的是：() A、杀毒软件可以清除勒索病毒，但不解密被加密的文件。B、勒索病毒一般要求通过比特币或达世币等匿名货币进行支付。C、只要系统及时到最新版本就不会被勒索病毒感染。D、再严格的防范都不可能完全避免联网的电脑被勒索病毒感染，因此一定要做好数据的离线备份工作。77. 根据等保规定，备份时，要备份的内容是：() A、重要的业务数据。B.系统数据。C、软件系统。D、以上全部78. 按照我国等级保护标准及卫生行业信息安全等级保护工作的指导意见的要求，某市级三甲医院的系统哪个可以不是三级：() A、HIS系统B、PACS系统C、EMR系统

25、D、医院OA系统79. 哪种类型的入侵检测系统监视主机操作系统以检测不适当的活动，写入日志文件并触发警报？() A、基于主机B、基于日志C、基于段D、基于平台80. 对应网络安全等级保护2.0技术要求，安全管理中心可以对应IATF哪一个焦点领域() A、网络基础设施B.计算环境安全C.区域边界D.支撑性基础设施81. 当应用程序直接使用或连接具有文件或流功能的潜在恶意输入时，会发生哪种漏洞？() A、执行恶意程序B、注入漏洞C、不安全的直接对象引用D、跨站点请求伪造82. 以下哪一个不属于软件安全开发的问题。() A、密钥被破解B、登录页面被绕过C、错误提示信息过于详细D、SQL注入漏洞83.

26、 在Windows中，用户登录系统状态可以在哪个日志中查看：() A、系统日志B、安全日志C.应用日志D、IE日志84. 某事业单位内网OA系统被攻击，数据库被拷贝并在黑市上贩卖。经查明，是内网某办公室为了移动终端上网方便私接无线路由，导致攻击者远程破解了无线路由的连接密码得以连入外网进行攻击。作为系统管理员，你的应对策略应当是？() A、建议领导开除私接无线路由的工作人员B、定期检查内网所有的设备以避免私接情况的发生C、建立严格的内网准入制度，使用准入服务器审核所有接入内网的设备并且与使用者直接对应，对于未通过审核的设备直接关闭交换机接入端口。D、对OA系统进行加固避免下次被攻击85. 王女

27、士使用家里的WIFI进行手机购物，在需要支付的时候发现用来购物的银行卡上余额不足，于是王女士打开手机网银对自己的银行卡进行转账，在输入正确的用户名和密码之后发现无法登陆手机网银，过了没多久王女士发现银行发来了验证码并要求将验证码回填到网银的验证码窗口，她将验证码填入之后没多久就收到了银行卡金额被转走的短信提示。请问王女士最可能遭受了什么攻击？() A、拒绝服务攻击B.网银密码暴力破解攻击C、路由器DNS被污染导致访问了钓鱼网站D、TCP会话被篡改86. 以下哪一个命令可以用来查看端口开放状态() A、PingB.IpconfigC.Net B、ViewD.Netstat87. 小王在登陆免费邮

28、箱时通过访问邮箱web网站()输入用户名和密码的方式进行登陆，请问在这个过程中他实现了哪种鉴别？() A、单向鉴别B、混合鉴别C、双向鉴别D、第三方鉴别88. 以下哪项不是分布式拒绝服务攻击难以防范的主要原因？() A、攻击技术手段过于先进B、攻击流量和正常访问流量不容易区分C、攻击流量过大D、组织在应急上不够重视，当攻击发生时难以形成与外部各方的联动。89. 2017年，“永恒之蓝”勒索病毒感染了众多的组织机构，在以下的防范方式中，相比之下哪种方式是最应该被贯彻执行的？() A、尽量不使用外部数据文件B、给操作系统管理员设置足够复杂的密码C、及时更新杀毒软件的病毒库D、及时更新操作系统的安全

29、补丁90. 如果要应对ARP欺骗，以下哪项措施不太适合？() A、在网络中的节点交换机做MAC地址和端口的对应绑定B、在网络中的终端中设置静态ARP缓存C、使用ARP病毒防护程序D、对网关防火墙设置规则只允许特定IP地址接入。91. 在DBMS系统中，事务日志的作用是() A、审计B.数据库缓存C.交互D.回滚92. 小张是单位的IT运维，主要负责单位内网信息发布Web服务器的日常运行维护工作，有一天他维护的Web服务器中了勒索病毒，经安全专家检查，病毒的来源是小张的工作用笔记本电脑，小张回忆了他最近两天的使用行为，请问以下哪个他的使用行为最可能造成单位的Web服务器遭受勒索病毒的感染？()

30、A、小张从单位信息安全部门的FTP服务器上下载了Web应用软件的最新程序补丁安装在Web服务器上。B、小张在工作电脑上打开过常玩的网络游戏客户端并在最近两天更新过一次官方补丁。C、小张在工作电脑上打开过自己的免费邮箱查看过一些邮件，其中包括来自老同学的结婚喜贴和来自信用卡中心的账单邮件。D、小张最近两天更新过工作电脑的杀毒软件的病毒库。93. 常见的Widnows日志中，默认排序是按照() A、事件序列B.时间C.类型D.IP94. 一栋5层的建筑中，哪层最适合安置信息处理设施？() A、1楼B、地下室C、3-4E、5楼95. 机房里过低的湿度会引起() A、静电B.短路C.空调故障D.电源故

31、障96. 以下不属于信息安全事态或事件的是() A、服务、设备或设施的丟失B.系统故障或超负载C.物理安全要求的违规D.安全策略变更的临时通知97. 信息安全管理中，对于安全违规人员的正式纪律处理过程中必不可少的活动是？() A、警告与罚款B、就违规的详情向所有人员通报C、评估违规对业务造成的影响D、责成违规人员修复造成的损害98. 对于针对信息系统的软件包，以下说法正确的是：() A、组织应具有有能力的人员，以便随时对软件包进行适用性修改B、应尽量劝阻对软件包实施变更，以规避变更的风险C、软件包不必作为配置项进行管理D、软件包的安装必须由其开发商实施安装99. 信息安全管理体系中提到的“资产

32、责任人”是指。() A、对资产拥有财产权的人B、使用资产的人C、有权限变更资产安全属性的人D、资产所在部门负责人100. 瞬时的高电压称为() A、电力故障B.浪涌C.尖峰D.断电101. 下列哪项不属于物理安全防御的主要风险() A、尾随B.DOS攻击C.盗窃D.火灾102. 小明因为担心受到DDoS攻击，决定停止一些非必要的在线患者服务系统。小明在患者服务系统服务方面采取了什么样的风险管理策略？() A、规避风险B、降低风险C、转移风险D、接受风险103. 在信息安全管理中进行( )，可以有效解决人员安全意识薄弱问题 A、内容监控B.安全教育和培训C.责任追查和惩处D.访问控制104. 向

33、个人信息主体明示个人信息处理目的、方式、范围、规则 等，征求其授权同意指的是个人信息安全的( ) 的原则 A、权责一致B、目标明确C、选择同意D、确保安全105. 健康医疗数据不包括() A、个人属性数据B、健康状况数据C、医疗应用数据D、医务人员数据106. 健康医疗信息安全实施步骤中检查活动不包括：() A、检查过程纳入监管B.监控安全工作过程，包括实施选定的安全措施的过程C、实施风险处置方案，包括实施选定的安全措施D.根据情况实施自查，或是请第三方检查机构进行检查107. 个人信息控制者经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守以下要求不包括。() A、事先开展个人信息

34、安全影响评估，并依评估结果采取有效的保护个人信息主体的措施B、向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意C、公开披露个人生物识别信息D、公开披露个人敏感信息前，除个人信息安全规范标准中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容108. 个人健康医疗信息主体有权对健康医疗信息控制者或其业务伙伴使用或披露其信息的情况进行历史回溯查询，最短回溯期为( )年 A、三B.四C.五D.六109. 有关健康医疗信息安全指南在使用和披露例外条款中不包括() A、向个人健康医疗信息主体提供其本人健康医疗信息；B.健康医疗信息控制者与个人健康医疗信息主体之间进

35、行面对面的营销沟通结果C.治疗、支付或保健护理时和涉及公共利益或法律法规要求时；D.用于科学研究、公共卫生或医疗保健操作目的的受限制数据集；110. 信息安全技术 个人信息安全规范中所包含的个人敏感信息是：() A、个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、B、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等。C、指通过日志储存的用户操作记录，包括网站浏览记录、软件使用记录、点击记录等。D、硬件序列号、设备 E、MAC F、地址、软件列表、唯一设备识别码(如 G、IMEI/android H、ID/IDFA

36、/OPENUDID/GUID、SIM111. 网络安全法不包含的能力是：() A、防御能力B、攻击能力C、管理能力D、应急能力112. 美国HIPPA隐私规则的一个主要目标是() A、确保个人的信息得到适当保护B.确保个人隐私得到适当保护C.确保个人的健康信息得到适当保护D.确保个人网络安全得到适当保护113. 以下有关国家关键信息基础设施描述错误的是：() A、关键信息基础设施安全保护坚持顶层设计、整体防护，统筹协调、分工负责的原则，充分发挥运营主体作用，社会各方积极参与，共同保护关键信息基础设施安全。B、关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任，履行网

37、络安全保护义务，接受政府和社会监督，承担社会责任。C、运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。D、受到刑事处罚的人员，五年内不得从事关键信息基础设施安全管理和网络运营关键岗位的工作。114. 以下有关我国医疗信息化发展描述正确的是() A、20世纪80年代，单机单用户，小型机；这一阶段开始时以小型机为主，采用分时终端方式，当时只有少数几家大型的综合医院和教学医院拥有。B.1978年北京协和医院引进DJS-130小型机，国内计算机在医院信息化方面的最早尝试C.进入20世纪90年代，快速以太网和大型

38、关系型数据库日益盛行，完整的网络化医院管理系统的实现已经成为可能，我国医疗行业开始统一使用医院管理系统。D.2003年的SARS暴发。SARS暴发导致一个全国性突发的严重公共卫生事件。其直接后果是公共卫生信息化投入的跳跃式增长，世界规模最大的传染病直报网络系统的建设与成功运行和各省市突发公共卫生应急系统的建设。115. 以下有关我国医疗信息化发展阶段描述正确的是() A、HMIS-CIS-GHIS-HISB.HMIS-GHIS-CISC.GHIS-HMIS-CIS-HISD.HMIS-CIS-GHIS116. 数字化医疗的基础是：() A、医疗设备的数字化B、医疗设备的网络化C、医院管理的信息

39、化D、医疗服务的个性化117. 全国医院信息化建设标准与规范指标体系图中包含内容说法正确的是：() A、业务应用、信息平台、基础设施B、信息平台、基础设施、安全防护、新兴技术C、基础设施、安全防护、新兴技术D、业务应用、信息平台、基础设施、安全防护、新兴技术118. 面向智慧医疗的物联网系统大致可分为终端及感知延伸层应用层和( ) A、传输层B、接口层C、网络层D、表示层119. 在医疗信息化中，HIS属于哪一个领域：() A、医院信息化B、区域卫生信息化C、产业链延伸D.互联网医疗120. 用户准备在云计算平台上建立自己的业务系统时，需要关注哪些安全风险? A、云平台本身的安全B、ISV提供

40、的应用的安全C、用户自身的安全意识D、硬件服务器的安全121. 根据卫生行业信息安全等级保护工作的指导意见中的规定，实施等级保护的步骤包括： A、定级备案B、建设与整改C、测评D、宣传培训E、监督122. 根据卫生部2011年85号文卫生行业信息安全等级保护工作的指导意见中的要求，在进行等保定级时，以下系统中哪些在原则上不得低于三级( ) A、卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统B、国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心C、三级甲等医院的核心业务信息系统D、卫生部网站系统

41、123. 2011年卫生部第85号文卫生行业信息安全等级保护工作的指导意见中规定的工作原则是： A、遵循标准，重点保护B、行业指导，属地管理C、同步建设，动态完善D、整体规划，分步实施124. 下列有关等保2.0中二级保护的描述，正确的是： A、应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络B、应提供异地数据备份功能，利用通信网络将重要数据定时批量传送至备用场地C、应配备一定数量的系统管理、审计管理员和安全管理员等D、应禁止未授访问和和非法使用用户个人信息125. 恶意代码分析技术包括？ A、静态检测B、灰盒测试C、动态检测D、半静态检测126. 以下哪几项VPN技术工作在同

42、一层？ A、PPTPB、L2TPC、L2FD、SSL127. 确保数据匿名化隐私保护的常见技术有？( ) A、替换B、抑制C、泛化D、扰动128. 以下属于应用安全问题的是( ) A、失效的身份认证B、不安全的反序列化C、劫持无线AP节点D、敏感信息泄露129. 组织机构在建立和评审ISMS时，应考虑 A、风险评估的结果B、管理方案C、法律、法规和其它要求D、以上都对130. 为防止对网络服务的未授权访问，组织不应 A、制定安全策略，确保用户应仅能访问已获专门授权使用的服务B、禁止内部人员访问互联网C、禁止外部人员访问组织局域网D、禁止外部人员访问组织局域131. 应对供电电力故障的安全措施有

43、哪些 A、双路电B、UPSC、柴油发电机D、应急电力保障车132. 以下属于火灾探测器的有 A、烟雾激发探测器B、光探测器C、电探测器D、热激发探测器133. 以下哪些情景中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意 A、与国家安全、国防安全直接相关的B、与犯罪侦查、起诉、 审判和判决执行等直接相关的C、与公共安全、 公共卫生、 重大公共利益直接相关的D、所收集的个人信息是个人信息主体自行向社会公众公开的134. 收集个人信息的合法性要求包含 A、不得欺诈、诱骗、强迫个人信息主体提供其个人信息B、不得隐瞒产品或服务所具有的收集个人信息的功能C、不得从非法渠道获取个人信息D

44、、不得收集法律法规明令禁止收集的个人信息135. 大数据的意义包括( ) A、促进民生改善B.推动科技进步C.辅助社会管理D.支持商业决策136. 等保2.0中对数据备份的要求，下列说法正确的是：() A、一级要求提供重要数据的本地备份与恢复功能。B.二级要求具备数据的异地定时数据备份功能C.三级要求具备数据的实时备份功能，同时提供重要数据处理系统的热冗余，保证系统的高可用性D.备份的内容包括：重要业务信息、系统数据及软件系统等。137. 根据卫生部2011年85号文卫生行业信息安全等级保护工作的指导意见中的要求，在进行等保定级时，以下系统中哪些在原则上不得低于三级( )。 A、卫生统计网络直

45、报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；B、国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；C、三级甲等医院的核心业务信息系统；D、卫生部网站系统；138. 2011年卫生部第85号文卫生行业信息安全等级保护工作的指导意见中规定的工作原则是：( ) A、遵循标准，重点保护。B、行业指导，属地管理。C、同步建设，动态完善。D、整体规划，分步实施139. 下列有关等保三级的描述，正确的是：( ) A、机房场地应禁止设置在建筑物的顶层或者地下室。B.要求具备数据的异地定时备份能力。C.三级要求应在关键

46、节点处检测、防止或限制来自外部和内部发起的网络攻击行为。D.应对机房划分区域进行管理，区域与区域之间设置隔离防火措施140. 有关SQL注入和缓冲区溢出两种攻击方式，正确的说法有？( ) A、都能通过打补丁缓解B.都是对于输入数据的利用C.SQL注入主要由于C语言编程不规范导致D.缓冲区溢出可以通过编程时对边界进行检查并插入探测值来有效防范141. 以下哪几项VPN技术工作在同一层？( ) A、PPTPB、L2TPC、L2FD、SSL142. 以下哪一种技术可以实现文件/数据加密( ) A.EFSB.DLPC.PGPD.Bitlock143. 常见的逻辑隔离技术包括( ) A.防火墙B.ACL

47、C.交换机D.VLAN144. 以下那些可以用于扑灭因电子设备引发的火灾( ) A.七氟丙烷B.二氧化碳C.水D.醋酸钾145. 组织应进行安全需求分析，规定对安全控制的要求，由( ) A、组织需建立新的信息系统时B、组织的原有信息系统扩容或升级时C、组织向顾客交付软件系统时D、以上都对146. 舍伍德分层模型架构的6个W，以下说法正确的是( ) A、What是指资产B、Why是指动机C、How是指过程D、Who是指人147. 为防止对网络服务的未授权访问，组织不应( ) A.制定安全策略，确保用户应仅能访问已获专门授权使用的服务B.禁止内部人员访问互联网C.禁止外部人员访问组织局域网D.禁止

48、外部人员访问组织局域148. 健康医疗信息披露的原则包含( ) A、健康医疗信息控制者在使用或披露相应个人健康医疗信息时，应获得作为个人健康医疗信息主体的个人授权.B.所有授权应使用通俗易懂的语言，并且包含有关要披露或使用的信息、信息的接收方、用途、使用的方式、到期日期、法定权利、以及健康医疗信息控制者采取的保护措施等具体信息C.使用个人健康医疗信息不能超出与个人授权的用途具有直接或合理关联的范围D.因业务需要，确需超出上述范围使用的，应再次征得个人健康医疗信息主体同意149. 健康医疗信息的安全目标包含( ) A、保护健康医疗信息使用和披露过程中信息的保密性、完整性和可用性B.确保健康医疗信

49、息使用和披露过程的安全性，保护个人隐私、公众利益和国家安全C.确保健康医疗信息在符合上述安全要求的前提下满足业务需求D.确保健康医疗信息被其他机构获取150. 以下有关物联网安全在医疗行业有意义的安全建议是() A、使用最新的人工智能技术B、在设备上保持“负载即检测”C、隔离即安全D、严格使用厂商提供的默认密码151. 智能手机给应用程序提供了访问拨打电话、短信、数据漫游、NFC支付等资源的接口。会触发哪一种移动互联网安全问题() A、确保密码等身份认证信息的安全B、正确的身份认证、授权与会话管理C.设置用户隐私使用条例D.实现对付费资源的授权访问控制152. 以下哪一个是针对业务风险描述正确

50、的() A、挖矿病毒会导致业务数据被篡改或者泄露B.“永恒之蓝”病毒席卷全球，病毒利用MS17-010漏洞，通过139端口对网络内电脑发起攻击C.其他病毒如感染可执行文件的文件型病毒和脚本型病毒，感染会影响程序的运行，窃取医疗信息。D.影响业务软件运行的因素主要有：病毒引起的服务器和工作站故障、拒绝服务攻击、业务软件自身的BUG等153. 造成硬件故障常见的原因不包括() A、硬件的使用寿命限制B.配置问题C.硬件质量问题D.因为断电、雷击等意外事故154. 小王是医院信息中心的系统管理员，为了防范勒索病毒的攻击，他对全院终端制定了以下规则，请指出规则中不太适合的一条。() A、对所有USB端

51、口做严格设备准入管控，对用不上的端口做物理封堵B.对交换机，路由器做策略封堵136到1024的所有端口C.C.部署内网补丁分发服务器，及时进行操作系统补丁更新下发D.在内网禁用共享目录，需要传输文件使用FTP等其他的方式共享155. 按照我国等级保护标准及卫生行业信息安全等级保护工作的指导意见的要求，某市级三甲医院的系统哪个可以不是三级：() A、HIS系统B、PACS系统C、EMR系统医院D、OA系统156. 电子病历应用中受到最大质疑的就是安全性问题，哪一项不是建立电子病历的安全方法。() A、数据传输步骤采取加密措施B.建立电子病历的授权认证机制C.采用第三方机构发放的包含时间信息的电子

52、证书D.电子病历系统身份鉴别采取一种鉴别方式。157. 障医疗信息系统安全简单来说就是建立“一个中心，三重保护，四个层面，六类机制”，请问以下哪项属于“四个层面”中对主机安全的保护？() A、部署防火墙设备B、部署网络入侵检测设备C、部署网页防篡改措施D、部署分布式杀毒软件158. 临床管理信息系统(HCIS,HospitalCommunicationandInformationSystem)是整个医院信息系统中非常重要的一个部分，其中，( )是CIS系统的核心。 A、检验信息系统(LIS)B、电子病历系统C.分诊管理系统D.门急诊挂号系统159. 在BMS系统中，事务日志的作用是() A、审

53、计B.数据库缓存C.交D.回滚160. 在Windows中，用户登录系统状态可以在哪个日志中查看：() A、系统日志B.安全日志C.应用日志D.IE日志161. 以下哪项()不是分布式拒绝服务攻击难以防范的主要原因？ A、攻击技术手段过于先进B.攻击流量和正常访问流量不容易区分C.攻击流量过大D.组织在应急上不够重视，当攻击发生时难以形成与外部各方的联动。162. 2017年，“永恒之蓝”勒索病毒感染了众多的组织机构，在以下的防范方式中，相比之下哪种方式是最应该被贯彻执行的？() A、尽量不使用外部数据文件B.给操作系统管理员设置足够复杂的密码C.及时更新杀毒软件的病毒库D.及时更新操作系统的

54、安全补丁163. 如果要应对ARP欺骗，以下哪项措施不太适合？() A、在网络中的节点交换机做MAC地址和端口的对应绑定B.在网络中的终端中设置静态ARP缓存C.使用ARP病毒防护程序D.对网关防火墙设置规则只允许特定IP地址接入。164. 对应网络安全等级保护2.0技术要求，安全管理中心可以对应IATF哪一个焦点领域() A、网络基础设施B.计算环境安全C.区域边界D.支撑性基础设施165. 以下哪一个命令可以用来查看端口开放状态() A、PingB.IpconfigC.NetViewD.Netstat166. 在信息安全管理中进行( )，可以有效解决人员安全意识薄弱问题 A、内容监控B.安

55、全教育和培训C.责任追查和惩处D.访问控制167. 瞬时的高电压称为() A、电力故障B.浪涌C.尖峰D.断电168. 下列哪项不属于物理安全防御的主要风险() A、尾随B.DOS攻击C.盗窃D.火灾169. 以下不属于信息安全事态或事件的是() A、服务、设备或设施的丟失B.系统故障或超负载C.物理安全要求的违规D.安全策略变更的临时通知170. 健康医疗数据不包括() A、个人属性数据B.健康状况数据C.医疗应用数据D.医务人员数据171. 安全事件告知内容不包括:() A、安全事件的内容和影响B、已采取或将要采取的处置措施C、个人信息主体自主防范和降低风险的建议D、安全事件中的具体漏洞信

56、息172. 以下有关国家关键信息基础设施描述错误的是：() A、关键信息基础设施安全保护坚持顶层设计、整体防护，统筹协调、分工负责的原则，充分发挥运营主体作用，社会各方积极参与，共同保护关键信息基础设施安全。B.关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务，接受政府和社会监督，承担社会责任。C.运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。D.刑满释放5年内不能任职信息安全职位173. 在我国医疗信息化发展中数据-决策、智慧体现了医疗信息化的(

57、)变化 A、从粗放到精细B.从数据到应用C.从封闭到开放D.从单独到联合174. 数字卫生涵盖的业务领域不包括：() A、医疗服务B.远程医疗服务C.社区服务、公共卫生服务D.综合管理服务175. 智慧医疗由哪三部分组成() A、智慧医院系统、区域卫生系统、家庭健康系统B.智慧病房系统、智能护理、智慧药房C.远程医疗系统、区域卫生系统、智能病房系统D.家庭健康系统、远程医疗系统、智能护理176. 在大数据的生产、采集阶段所要关注的安全问题是() A、合法性与业务实例B.隐私保护C.基于视图的展现D.内部泄露177. 哪种类型的入侵检测系统监视主机操作系统以检测不适当的活动，写入日志文件并触发警报？() A、基于主机B.基于日志C.基于段D.基于平台178. 以下哪一个不属于软件安全开发的问题。() A、密钥被破解B.登录页面被绕过C.错误提示信息过于详细D.SQL注入漏洞179. 常