2023年安全生产-安全防范行业职业技能鉴定-注册信息安全专业人员考试历年高频考点版（难、易错点荟萃.docxVIP

2023年安全生产-安全防范行业职业技能鉴定-注册信息安全专业人员考试历年高频考点版（难、易错点荟萃）带答案 （图片大小可任意调节） 第1卷 一.单选题(共10题) 1.下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？ A.强制访问控制（ MAC） B.集中式访问控制（ Decentralized Access Control ） C.分布式访问控制（ Distributed Access Control ） D.自主访问控制（ DAC） 2.下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能？ A.系统认证和完整性，完整性，真实性和完整性，机密性和完整性 B.用户认证和完整性，完整性，真实性和完整性，机密性 C.系统认证和完整性，完整性，真实性和完整性，机密性 D.系统认证和完整性，完整性和机密性，真实性和完整性，机密性 3.在数据中心环境中，下列哪一种灭火系统最应该被采用（） A.干管喷淋灭火系统 B.湿管喷淋灭火系统 C.Halon 灭火系统 D.二氧化碳气体 4.组织在实施与维护信息安全的流程中，下列哪一项不属于高级管理层的职责？ A.明确的支持 B.执行风险分析 C.定义目标和范围 D. 职责定义与授权 5.作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？ A.自主访问控制（ DAC） B.强制访问控制（ MAC） C.基于角色访问控制（ RBAC） D.最小特权（ Least Privilege ） 6.下列哪一项能够被用来检测过去没有被识别过的新型攻击（）？ A.基于特征的 IDS B. 基于知识的 IDS C.基于行为的 IDS D.专家系统 7.安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的“简单安全规则”？ A.Biba 模型中的不允许向上写 B. Biba 模型中的不允许向下读 C.Bell-LaPadula 模型中的不允许向下写 D.Bell-LaPadula 模型中的不允许向上读 8.在Kerberos结构中，下列哪一项会引起单点故障（）？ A.E-Mail 服务器 B.客户工作站 C.应用服务器 D.密钥分发中心（ KDC） 9.执行一个Smurf攻击需要下列哪些组件（）？ A.攻击者，受害者，放大网络 B.攻击者，受害者，数据包碎片，放大网络 C.攻击者，受害者，数据包碎片 D.攻击者，受害者，带外数据 10.为了达到组织灾难恢复的要求，备份时间间隔不能超过（） A.服务水平目标 (SLO) B.恢复时间目标 (RTO) C.恢复点目标 (RPO) D.停用的最大可接受程度 (MAO) 第2卷 一.单选题(共10题) 1.当一名入侵者紧跟着一位授权人员，在没有经过访问控制系统认证的情况下通过入口的行为称为（） A.冒充 B.尾随 C.截获 D.欺骗 2.为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成（）？ A.确保风险评估过程是公平的 B.因为风险正是由于这些来自不同部门的人员所引起的，因此他们应该承担风险评估的职责 C.因为不同部门的人员对本部门所面临的风险最清楚，由此进行的风险评估也最接近于实际情况 D.风险评估团队不应该由来自不同部门的人员组成，而应该由一个来自公司外部的小型团队组成 3.在对生物识别技术中的错误拒绝率（FRR）和错误接收率（FAR）的定义中，下列哪一项的描述是最准确的？ A.FAR属于类型 I 错误， FRR属于类型 II 错误 B.FAR是指授权用户被错误拒绝的比率， FRR属于类型 I 错误 C.FRR属于类型 I 错误， FAR是指冒充者被拒绝的次数 D.FRR是指授权用户被错误拒绝的比率， FAR属于类型 II 错误 4.在下列哪一项访问控制技术中，数据库是基于数据的敏感性来决定谁能够访问数据（）？ A.基于角色访问控制 B.基于内容访问控制 C.基于上下文访问控制 D. 自主访问控制 5.某公司正在进行IT系统灾难恢复测试，下列问题中的哪个最应该引起关注（） A.由于有限的测试时间窗，仅仅测试了最必须的系统，其他系统在今年的剩余时间里陆续单独测试 B.在测试过程中，有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败 C.在开启备份站点之前关闭和保护原生产站点的过程比计