2024年安全生产-安全防范行业职业技能鉴定-注册信息安全专业人员考试历年常考点试题带答案.docxVIP

2024年安全生产-安全防范行业职业技能鉴定-注册信息安全专业人员考试历年常考点试题带答案

（图片大小可任意调节）

第1卷

一.单选题(共10题)

1.下列哪一项最准确地描述了定量风险分析（）？

A.通过基于场景的分析方法来研究不同的安全威胁

B.一种将潜在的损失以及进行严格分级的分析方法

C.在风险分析时，将货币价值赋给信息资产

D.一种基于主观判断的风险分析方法

2.某公司正在进行IT系统灾难恢复测试，下列问题中的哪个最应该引起关注（）

A.由于有限的测试时间窗，仅仅测试了最必须的系统，其他系统在今年的剩余时间里陆续单独测试

B.在测试过程中，有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败

C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D.每年都是由相同的员工执行此测试，由于所有的参与者都很熟悉每一个恢复步骤，因而没有使用灾难恢复计划（DRP）文档

3.下列哪一项准确定义了安全基线（）？

A.指明应该做什么和不应该做什么的规定

B.最低水平的安全需求

C.安全措施的操作手册

D.安全建议

4.当一名入侵者紧跟着一位授权人员，在没有经过访问控制系统认证的情况下通过入口的行为称为（）

A.冒充

B.尾随

C.截获

D.欺骗

5.下列哪种方法最能够满足双因子认证的需求（）？

A.智能卡和用户PIN

B.用户ID与密码

C.虹膜扫描和指纹扫描

D.磁卡和用户PIN

6.下列哪种类型的IDS能够监控网络流量中的行为特征，并能够创建新的数据库（）？

A.基于特征的IDS

B.基于神经网络的IDS

C.基于统计的IDS

D.基于主机的IDS

7.在下列哪一项访问控制技术中，数据库是基于数据的敏感性来决定谁能够访问数据（）？

A.基于角色访问控制

B.基于内容访问控制

C.基于上下文访问控制

D.自主访问控制

8.下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能？

A.系统认证和完整性，完整性，真实性和完整性，机密性和完整性

B.用户认证和完整性，完整性，真实性和完整性，机密性

C.系统认证和完整性，完整性，真实性和完整性，机密性

D.系统认证和完整性，完整性和机密性，真实性和完整性，机密性

9.下列哪一项安全机制是一个抽象机，不但确保主体拥有必要的访问权限，而且确保对客体不会有未经授权的访问以及破坏性的修改行为（）

A.安全核心

B.可信计算基

C.引用监视器

D.安全域

10.作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色访问控制（RBAC）

D.最小特权（LeastPrivilege）

第2卷

一.单选题(共10题)

1.某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任（）？

A.部门经理

B.高级管理层

C.信息资产所有者

D.最终用户

2.在Kerberos结构中，下列哪一项会引起单点故障（）？

A.E-Mail服务器

B.客户工作站

C.应用服务器

D.密钥分发中心（KDC）

3.关于对称加密算法和非对称加密算法，下列哪一种说法是正确的（）？

A.对称加密算法更快，因为使用了替换密码和置换密码

B.对称加密算法更慢，因为使用了替换密码和置换密码

C.非对称加密算法的密钥分发比对称加密算法更困难

D.非对称加密算法不能提供认证和不可否认性

4.下列哪一项最准确地描述了灾难恢复计划（）应该包括的内容？

A.硬件，软件，人员，应急流程，恢复流程

B.人员，硬件，备份站点

C.硬件，软件，备份介质，人员

D.硬件，软件，风险，应急流程

5.某公司准备在业务环境中部署一种新的计算机产品，下列哪一项是授权过程的最后一步？

A.认证

B.定级

C.认可

D.识别

6.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？

A.Bell-LaPadula模型

B.Biba模型

C.信息流模型

D.Clark-Wilson模型

7.剩余风险应该如何计算？

A.威胁×风险×资产价值

B.（威胁×资产价值×脆弱性）×风险

C.单次损失值×频率