2023年安防生产行业技能考试-注册信息安全专业人员考试题库（含答案）

2023年安防生产行业技能考试-注册信息安全专业人员考试题库（含答案）（图片大小可任意调节）卷I一.综合密押题库(共20题)1.达到评价IT风险的目标最好是通过（）

A、评估与当前IT资产和IT项目相关的威胁

B、使用过去公司损失的实际经验来确定当前的风险

C、浏览公开报导的可比较组织的损失统计数据

D、浏览审计报告中涉及的IT控制薄弱点

正确答案:A2.企业正在与厂商谈判服务水平协定（SLA），首要的工作是（）。

A、实施可行性研究

B、核实与公司政策的符合性

C、起草其中的罚则

D、起草服务水平要求

正确答案:D3.传输控制协议（TCP）是传输层协议，以下关于TCP协议的说法，哪个是正确的？（）

A、相比传输层的另外一个协议UDP，TCP既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用途

B、TCP协议包头中包含了源IP地址和目的IP地址，因此TCP协议负责将数据传送到正确的主机

C、TCP协议具有流量控制、数据校验、超时重发、接收确认等机制，因此TCP协议能完全替代IP协议

D、TCP协议虽然高可靠，但是相比UDP协议机制过于复杂，传输效率要比UDP低

正确答案:D4.Kerberos是一种（）。

A、面向访问的保护系统

B、面向票的保护系统

C、面向列表的保护系统

D、面向锁和键的保护系统

正确答案:B5.信息安全应急响应计划的制定是一个周而复始的、持续改进的过程，以下哪个阶段不在其中（）

A、应急响应需求分析和应急响应策略的制定

B、编制应急响应计划文档

C、应急响应计划的测试、培训、演练和维护

D、应急响应计划的废弃与存档

正确答案:D6.在进行风险分析过程中，信息系统审计师发现了威胁及其潜在的影响。审计师下一步应该：（）

A、对管理层实施的风险评估流程进行评估

B、识别信息资产和与之相关的系统

C、告知管理层所发现的威胁及其影响

D、识别并评估现存的控制

正确答案:D7.要确定向供应商发出的采购订单是否已根据授权矩阵取得授权，以下哪种抽样方法最有效（）

A、变量抽样

B、分层单位平均评估抽样

C、属性抽样

D、不分层单位平均估计抽样

正确答案:C8.依据国家标准GB/T20274《信息系统安全保障评估框架》，信息系统安全目标（ISST）是从信息系统安全保障（）的角度来描述的信息系统安全保障方案。

A、建设者

B、所有者

C、评估者

D、创定者

正确答案:A9.信息安全风险评估分为自评估和检查评估两种形式，下列描述不正确的是（）。

A、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充

B、检查评估可在自评估实施的基础上，对关键环节或重点内容实施抽样评估

C、检查评估也可委托风险评估服务技术支持方实施，但评估结果仅对检查评估的发起单位负责

D、检查评估是指信息系统上级管理部门组织有关职能部门开展的风险评估

正确答案:B10.某制造类公司欲建自动化发票支付系统，要求该系统在复核和授权控制上花费相当少的时间，同时能识别出需要深入追究的错误，以下哪一项措施能最好地满足上述需求（）。

A、建立一个与供应商相联的内部客户机用及服务器网络以提升效率

B、将其外包给一家专业的自动化支付和账务收发处理公司

C、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处

D、重组现有流程并重新设计现有系统

正确答案:C11.我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面，以下关于信息安全保障建设主要工作内容说法不正确的是（）

A、健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障

B、建设信息安全基础设施，提供国家信息安全保障能力支撑

C、建立信息安全技术体系，实现国家信息化发展的自主创新

D、建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养

正确答案:C12.系统特殊出口

正确答案:

特殊系统软件功能，提供给用户自行设计执行复杂的系统维护功能，而这些出口可不受安全管制的控制。13.信息安全风险的三要素是指（）

A、资产/威胁/脆弱性

B、资产/使命/威胁

C、使命/威胁/脆弱性

D、威胁/脆弱性/使命

正确答案:A14.某个客户的网络现在可以正常访问Internet互联网，共有200台终端PC但此客户从ISP（互联网络服务提供商）里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问Internet互联网最好采取什么方法或技术（）

A、花更多的钱向ISP申请更多的IP地址

B、在网络的出口路由器上做源NAT

C、在网络的出口路由器上做目的NAT

D、在网络的出口处增加一定数量的路由器

正确答案:B15./etc/passwd文件是UNX/linux安全的关键文件之一。该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户ID（UID）、默认的用户分组ID（）、用户信息、用户登录目录以及登录后使用的shell程序。某黑客设法窃取了银行账户管理系统的passwd文件后，发现每个用户的加密的口令数据项都显示为’x’。下列选项中，对此现象的解释正确的是（）。

A、黑客窃取的passwd文件是假的

B、用户的登录口令经过不可逆的加密算法加密结果为’x’

C、加密口令被转移到了另一个文件里

D、这些账户都被禁用了

正确答案:C16.一个组织的系统安全能力成熟度达到哪个级别以后，就可以考为过程域（PA）的实施提供充分的资源？（）

A、2级——计划和跟踪

B、3级——充分定义

C、4级——量化控制

D、5级——持续改进

正确答案:B17.信息系统审计师的决定和行动最有可能对以下哪个风险产生影响？（）

A、固有风险

B、检查风险

C、控制风险

D、业务风险

正确答案:B18.以下哪一项是计划评审技术（PERT）相比其他方法的优点？与其他方法相比（）。

A、为计划和控制项目考虑不同的情景

B、允许用户输入程序和系统参数

C、测试系统维护加工的准确性

D、估算系统项目成本