当前位置:文档之家 › 信息安全考试题汇编

信息安全考试题汇编

  • 格式:docx
  • 大小:21.53 KB
  • 文档页数:7

下载文档原格式

  / 7

合集下载

信息技术类信息安全岗试题

信息技术类信息安全岗试题

信息技术类信息安全岗试题信息技术类信息安全岗试题
⒈信息安全基础知识
⑴信息安全的定义和原则
⑵信息安全的威胁和风险
⑶信息安全管理体系的要素和目标
⑷信息安全管理的流程和方法
⒉网络安全
⑴网络安全的概念和重要性
⑵网络攻击类型及特征
⑶防火墙和网络入侵检测系统的原理和功能
⑷网络安全策略和控制措施
⒊主机安全
⑴主机安全的重要性和目标
⑵操作系统漏洞和攻击类型
⑶主机安全加固和配置控制的方法
⑷主机安全监控和日志分析
⒋应用系统安全
⑴应用系统安全的特点和要求
⑵应用系统的漏洞和攻击类型
⑶应用系统的安全防护措施
⑷应用系统的安全测试和审计⒌数据安全
⑴数据安全的重要性和隐私保护
⑵数据备份和恢复策略
⑶数据加密和访问控制
⑷数据泄漏和误用的防范措施⒍物理安全
⑴物理安全的概念和目标
⑵机房和设备保护措施
⑶出入口控制和监控系统
⑷灾难恢复和紧急响应计划
附件:
附件2:主机安全加固检查表
附件3:应用系统安全测试报告样本
法律名词及注释:
⒈《网络安全法》:中华人民共和国网络安全法,于 2016 年
11 月 7 日由中国国家主席签署并颁布,旨在加强网络安全保护,保护网络空间主权,维护公共利益。

⒉《信息安全技术个人信息安全规范》:中华人民共和国工业和信息化部颁布的规范,规范了个人信息的收集、保存、使用、传递等环节的安全管理要求。

⒊《中华人民共和国计算机信息系统安全保护条例》:中华人民共和国国家安全部和国家工业和信息化部联合发布的条例,用于加强计算机信息系统的安全保护,维护国家安全和社会公共利益。

信息安全基础(习题卷1)

信息安全基础(习题卷1)

信息安全基础(习题卷1)第1部分:单项选择题,共61题,每题只有一个正确答案,多选或少选均不得分。

1.[单选题]IP地址欺骗通常是( )A)黑客的攻击手段B)防火墙的专门技术C)IP通讯的一种模式答案:A解析:2.[单选题]管理信息系统核心设备的供电必须由在线式UPS 提供,UPS 的容量不得小于机房设备实际有功负荷的()倍。

A)1B)2C)3D)4答案:B解析:3.[单选题]在合作协议中要求外委服务商采取关键岗位的外协驻场人员备用机制,明确需要后备人员的关键岗位并要求提供()外协驻场人员名单,保证服务连续性。

A)一名或以上B)两名或以上C)三名或以上D)四名或以上答案:B解析:4.[单选题]下列哪一些不属于系统数据备份包括的对象( )。

A)配置文件B)日志文件C)用户文档D)系统设备文件答案:C解析:5.[单选题]提高数据完整性的办法是 ( ) 。

A)备份B)镜像技术C)分级存储管理D)采用预防性技术和采取有效的恢复手段答案:D解析:C)cat -100 logD)tail -100 log答案:D解析:7.[单选题]在OSI参考模型中,同一结点内相邻层之间通过( )来进行通信。

A)接口B)进程C)协议D)应用程序答案:A解析:8.[单选题]哪个不是webshel|查杀工具?A)D盾B)WebShell DetectorC)AWVSD)河马答案:C解析:9.[单选题]下列哪些操作可以延缓攻击者的攻击速度( )。

[]*A)逻辑篡改B)代码混淆C)应用签名D)路径穿越答案:B解析:10.[单选题]漏洞形成的原因是( )。

A)因为程序的逻辑设计不合理或者错误而造成B)程序员在编写程序时由于技术上的疏忽而造成C)TCP/IP的最初设计者在设计通信协议时只考虑到了协议的实用性,而没有考虑到协议的安全性D)以上都是答案:D解析:11.[单选题]以下哪个是信息安全管理标准?( )A)ISO15408B)ISO14000C)ISO9000D)ISO27001答案:D解析:12.[单选题]客户端A和服务器B之间建立TCP连接,A和B发送报文的序列号分别为a,b,则它们回应的报文序号应该是下列哪项?A)a+1:a答案:D解析:13.[单选题]业务系统上线前,应在( )的测试机构进行安全测试,并取得检测合格报告。

大学信息安全期末考试模拟题及答案

大学信息安全期末考试模拟题及答案

大学信息安全期末考试模拟题及答案一、选择题(每题 2 分,共 30 分)1、以下哪种加密算法属于对称加密算法?()A RSA 算法B ECC 算法C AES 算法D DiffieHellman 算法答案:C解析:AES 算法属于对称加密算法,加密和解密使用相同的密钥。

RSA 和 ECC 算法属于非对称加密算法,DiffieHellman 算法用于密钥交换。

2、在网络安全中,以下哪个不是常见的网络攻击手段?()A SQL 注入B 跨站脚本攻击(XSS)C 数字签名D 拒绝服务攻击(DoS)答案:C解析:数字签名是一种用于保证数据完整性和认证的技术,不是攻击手段。

SQL 注入、XSS 和 DoS 都是常见的网络攻击方式。

3、以下关于防火墙的说法,错误的是()A 防火墙可以阻止来自外部网络的未经授权访问B 防火墙可以防止内部网络用户对外部网络的非法访问C 防火墙可以完全防止病毒和恶意软件的传播D 防火墙可以记录网络活动日志答案:C解析:防火墙主要用于控制网络访问,不能完全防止病毒和恶意软件的传播,还需要结合防病毒软件等其他安全措施。

4、以下哪种身份认证方式安全性最高?()A 用户名和密码B 指纹识别C 短信验证码D 动态口令答案:B解析:指纹识别是基于生物特征的认证方式,相较于用户名和密码、短信验证码、动态口令等,安全性更高,因为生物特征难以伪造。

5、以下关于信息安全管理体系(ISMS)的说法,正确的是()A ISMS 只适用于大型企业B ISMS 的实施不需要全员参与C ISMS 是一个持续改进的过程D ISMS 不需要考虑法律法规的要求答案:C解析:ISMS 适用于各种规模的组织,需要全员参与,且必须考虑法律法规的要求。

同时,ISMS 是一个持续改进的过程。

6、以下哪种密码策略可以提高密码的安全性?()A 定期更换密码B 使用简单易记的密码C 多个系统使用相同的密码D 将密码写在明显的地方答案:A解析:定期更换密码可以降低密码被破解的风险。

信息安全题库(汇总1000题)

信息安全题库(汇总1000题)

信息安全题库(汇总1000题)一、单项选择题(1-605)1、Chinese Wall 模型的设计宗旨是:(A)。

A、用户只能访问哪些与已经拥有的信息不冲突的信息B、用户可以访问所有信息C、用户可以访问所有已经选择的信息D、用户不可以访问哪些没有选择的信息2、安全责任分配的基本原则是:(C)。

A、―三分靠技术,七分靠管理‖B、―七分靠技术,三分靠管理‖C、―谁主管,谁负责”D、防火墙技术3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一,以下(B)不属于信息运行安全技术的范畴。

A、风险分析B、审计跟踪技术C、应急技术D、防火墙技术4、从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该(A)。

A、内部实现B、外部采购实现C、合作实现D、多来源合作实现5、从风险分析的观点来看,计算机系统的最主要弱点是(B)。

A、内部计算机处理B、系统输入输出C、通讯和网络D、外部计算机处理6、从风险管理的角度,以下哪种方法不可取?(D)A、接受风险B、分散风险C、转移风险D、拖延风险7、当今IT的发展与安全投入,安全意识和安全手段之间形成(B)。

A、安全风险屏障B、安全风险缺口C、管理方式的变革D、管理方式的缺口8、当为计算机资产定义保险覆盖率时,下列哪一项应该特别考虑?(D)。

A、已买的软件B、定做的软件C、硬件D、数据9、当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在该系统重新上线前管理员不需查看:(C)A、访问控制列表B、系统服务配置情况C、审计记录D、用户账户和权限的设置10、根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行(B)。

A、逻辑隔离B、物理隔离C、安装防火墙D、VLAN 划分11、根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?(D)A、威胁、脆弱性B、系统价值、风险C、信息安全、系统服务安全D、受侵害的客体、对客体造成侵害的程度业务12、公司应明确员工的雇佣条件和考察评价的方法与程序,减少因雇佣不当而产生的安全风险。

信息安全知识试题及答案

信息安全知识试题及答案

信息安全知识试题及答案信息安全在现代社会中起着至关重要的作用,保护个人和组织的信息免受恶意攻击是一项迫切需求。

下面是一些关于信息安全的试题及答案,以帮助您更好地了解和提高信息安全意识。

试题一:密码学基础1. 什么是对称加密算法?举例说明。

2. 什么是非对称加密算法?举例说明。

3. 什么是哈希函数?它在信息安全中的应用是什么?4. 什么是加密强度?它与密钥长度有何关系?答案一:1. 对称加密算法是一种使用相同密钥进行加密和解密的算法。

例如,DES(数据加密标准)和AES(高级加密标准)都是对称加密算法。

2. 非对称加密算法使用一对密钥,包括公钥和私钥。

公钥可用于加密,而私钥用于解密。

RSA(Rivest-Shamir-Adleman)和ECC(椭圆曲线密码算法)是非对称加密算法的代表。

3. 哈希函数是将任意长度的输入转换为固定长度输出的一种函数。

在信息安全中,哈希函数常用于验证数据的完整性和生成数字签名。

4. 加密强度是指加密算法抵抗破解攻击的能力。

密钥长度越长,加密强度越高。

因此,加密强度与密钥长度成正比关系。

试题二:网络安全1. 什么是防火墙?它如何保护网络安全?2. 什么是DDoS攻击?如何应对?3. 什么是SQL注入攻击?如何预防?4. 什么是恶意软件?列举几种常见的恶意软件类型。

答案二:1. 防火墙是一种网络安全设备,通过监控和控制网络流量来保护网络安全。

它可以根据事先设定的规则,阻止未经授权的访问和不安全的网络活动。

2. DDoS(分布式拒绝服务)攻击是指通过利用多个计算机或网络设备的攻击源,向目标服务器发送大量的请求,从而使目标服务器过载而无法响应正常请求。

为应对DDoS攻击,可以使用流量清洗、黑洞路由等方法。

3. SQL注入攻击是指攻击者通过向Web应用程序的数据库查询中插入恶意的SQL语句,从而获取数据库的敏感信息或执行未授权的操作。

预防SQL注入攻击的方法包括使用参数化查询、输入验证和限制数据库权限等。

信息安全技术考试卷-笔试题(含答案)

信息安全技术考试卷-笔试题(含答案)

20XX年信息安全技术考试卷姓名:得分:一、单项选择题(每题1分,共20分)1、《网络安全法》开始施行的时间是( C )。

A、2016年11月7日B、2016年12月27日C、2017年6月1日D、2017年7月6日2、《网络安全法》立法的首要目的是( A )。

A、保障网络安全B、维护网络空间主权和国家安全、社会公共利益C、保护公民、法人和其他组织的合法权益D、促进经济社会信息化健康发展3、入侵检测系统使用入侵检测技术对网络和系统进行监视,并根据监视结果采取不同的处理,最大限度降低可能的入侵危害。

以下关于入侵检测系统的叙述,不正确的是( A )。

A、入侵检测系统可以弥补安全防御系统的漏洞和缺陷B、入侵检测系统很难检测到未知的攻击行为C、基于主机的入侵检测系统可以精确地判断入侵事件D、基于网络的入侵检测系统主要用于实时监控网络关键路径的信息4、默认情况下,Windows 2000有3个日志文件、应用程序日志文件、安全日志文件以及( C )。

A、目录服务日志文件B、DNS服务器日志文件C、系统日志文件D、文件复制服务日志文件5、当保护组织的信息系统时,在网络防火墙被破坏以后,通常的下一道防线是下列哪一项?( C )A.个人防火墙B.防病毒软件C.入侵检测系统D.虚拟局域网设置6、以下关于备份站点的说法哪项是正确的( A )A.应与原业务系统具有同样的物理访问控制措施B.应容易被找到以便于在灾难发生时以备紧急情况的需要C.应部署在离原业务系统所在地较近的地方D.不需要具有和原业务系统相同的环境监控等级7、分片攻击问题发生在、( D )A、数据包被发送时B、数据包在传输过程中C、数据包被接收时D、数据包中的数据进行重组时8、在信息安全风险管理体系中分哪五个层面?( D )A、决策层、管理层、执行层、支持层、用户层B、决策层、管理层、建设层、维护层、用户层C、管理层、建设层、运行层、支持层、用户层D、决策层、管理层、执行层、监控层、用户层9、依据国家标准《信息安全技术信息系统灾难恢复范围》(GB/T20988),灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理其中灾难恢复策略实现不包括以下哪一项?( A )A.分析业务功能B.选择和建设灾难备份中心C.实现灾备系统技术方案D.实现灾备系统技术支持和维护能力10、将特定区域内的计算机和其他相关设备联结起来,用于特定用户之间通信和信息传输的封闭型网络是( C )。

信息安全专业(网络安全)试题及答案

信息安全专业(网络安全)试题及答案信息安全专业(网络安全)试题及答案章节一:网络安全基础知识1.什么是信息安全?为什么信息安全对企业和个人非常重要?2.网络攻击的种类以及常见的网络攻击手段有哪些?3.安全策略是什么?如何设计一个有效的安全策略来保护网络?4.网络防火墙是什么?它的工作原理和作用是什么?5.什么是入侵检测系统(IDS)和入侵防御系统(IPS)?它们有何区别和联系?6.什么是加密?常用的加密算法有哪些?如何选择合适的加密算法来保护数据的安全性?章节二:网络安全风险评估与管理1.什么是网络安全风险评估?为什么进行网络安全风险评估?2.网络安全风险评估的步骤和方法有哪些?3.如何制定一个完善的网络安全风险管理计划?4.什么是应急响应计划?如何制定和实施一个高效的应急响应计划?5.风险治理的原则和方法有哪些?章节三:网络安全技术1.什么是网络监测和流量分析?它们在网络安全中有何作用?2.渗透测试是什么?如何进行渗透测试来评估网络的安全性?3.什么是漏洞扫描?如何利用漏洞扫描工具来检测和修补网络中的漏洞?4.什么是反和恶意代码防范?如何选择和使用反软件来保护网络安全?5.什么是密码学和密钥管理?如何使用密码学技术来保护数据的机密性和完整性?章节四:网络安全管理1.什么是信息安全管理体系(ISMS)?如何建立和维护一个有效的ISMS?2.什么是用户账户和访问控制?如何设计和实施一个安全的用户身份认证和授权机制?3.如何进行员工的安全培训和教育来提高员工的安全意识和安全素养?4.什么是安全审计和合规性管理?如何进行安全审计和合规性管理来确保网络的合法性和合规性?5.如何建立一个完善的安全事件响应团队(CSIRT)来处理网络安全事件?附件:本文所涉及的法律名词及注释1.GDPR(《一般数据保护条例》):欧洲联盟的一项数据保护和隐私法律法规,涉及个人数据的保护和处理。

2.HIPAA(美国《健康保险可移植性与责任法案》):美国的一项法律,旨在保护个人健康信息的安全和隐私。

网络信息安全考试试题及答案

网络信息安全考试试题及答案一、选择题1. 恶意软件是指()。

A. 有害软件B. 无害软件C. 安全软件D. 效率软件答案:A. 有害软件2. 下列哪一项是网络信息安全的基本要求?A. 通信的真实性B. 通信的隐私性C. 通信的可靠性D. 通信的实时性答案:C. 通信的可靠性3. 以下属于网络攻击的种类是()。

A. 黑客攻击B. 白帽攻击C. 手机攻击D. 数据库攻击答案:A. 黑客攻击4. 下列哪项不是保护信息安全的基本方法?A. 加密B. 使用弱密码C. 防火墙D. 签名答案:B. 使用弱密码5. 信息安全三要素主要包括()。

A. 机密性、完整性、可用性B. 真实性、完整性、有效性C. 机密性、诚实性、可用性D. 保密性、完全性、可用性答案:A. 机密性、完整性、可用性二、填空题1. 防火墙作用是()网络安全。

答案:保护2. 黑客攻击一般是指利用()手段入侵系统或网络。

答案:非法3. 使用()可以保护信息不被窃取。

答案:加密技术4. 验证用户身份的方法有()认证和()认证。

答案:密码、指纹5. 信息安全的三要素中,保障信息的保密性是指信息()。

答案:不被泄露三、简答题1. 请简述一下网络信息安全的重要性以及现代社会面临的网络安全威胁。

网络信息安全是指保护网络系统中信息不受损害的一系列措施和技术手段。

在现代社会,网络信息安全变得尤为重要,因为随着互联网的普及和应用,信息传递的速度和方式变得越来越多样化,网络安全威胁也在增加。

网络信息安全的重要性体现在以下几个方面:首先,网络信息安全关系到国家和个人的重要利益。

其次,网络信息安全关系到经济社会的和平稳定。

再者,网络信息安全关系到企业的竞争力和市场形象。

现代社会面临的网络安全威胁主要包括黑客入侵、病毒攻击、木马病毒、网络钓鱼等。

2. 请简要介绍一下常见的网络攻击方式以及防范措施。

常见的网络攻击方式包括黑客攻击、病毒攻击、网络钓鱼等。

黑客攻击是指利用计算机技术手段获取他人信息或者窃取他人信息的行为。

信息安全基础试题及答案

信息安全基础试题及答案一、单项选择题(每题2分,共10题)1. 信息安全的三个基本要素是保密性、完整性和可用性。

A. 正确B. 错误答案:A2. 以下哪个选项不是信息安全的主要威胁?A. 病毒B. 黑客攻击C. 系统故障D. 自然灾害答案:D3. 对称加密算法中,加密和解密使用相同的密钥,以下哪个是对称加密算法的例子?A. RSAB. DESC. ECCD. AES答案:B4. 以下哪个不是防火墙的功能?A. 访问控制B. 入侵检测C. 数据包过滤D. 网络地址转换答案:B5. 数字签名的主要目的是什么?A. 确保信息的完整性B. 确保信息的机密性C. 验证信息的来源D. 以上都是答案:D6. 以下哪个协议用于在互联网上安全地传输数据?A. HTTPB. FTPC. HTTPSD. SMTP答案:C7. 以下哪个是信息安全中的身份认证技术?A. 密码B. 指纹C. 视网膜扫描D. 所有以上答案:D8. 以下哪个不是常见的信息安全策略?A. 访问控制B. 加密C. 病毒防护D. 漏洞扫描答案:D9. 以下哪个是信息安全中的一个基本原则?A. 最小权限原则B. 最大权限原则C. 无需验证原则D. 无限制访问原则答案:A10. 以下哪个是信息安全事故应急响应的一部分?A. 事故报告B. 事故分析C. 事故恢复D. 所有以上答案:D二、多项选择题(每题3分,共5题)1. 以下哪些是信息安全的基本要求?A. 保密性B. 完整性C. 可用性D. 可审计性答案:ABCD2. 以下哪些属于信息安全中的物理安全措施?A. 门禁系统B. 监控摄像头C. 服务器锁定D. 网络隔离答案:ABC3. 以下哪些是信息安全中的加密技术?A. 对称加密B. 非对称加密C. 哈希函数D. 数字签名答案:ABCD4. 以下哪些是信息安全中的安全协议?A. SSLB. TLSC. IPSecD. SSH答案:ABCD5. 以下哪些是信息安全中的安全漏洞?A. 缓冲区溢出B. SQL注入C. 跨站脚本攻击D. 拒绝服务攻击答案:ABCD三、简答题(每题5分,共2题)1. 描述信息安全中的社会工程学攻击,并给出防范措施。

信息安全技术专业资格历年真题汇编

信息安全技术专业资格历年真题汇编信息安全技术专业的考试要求考生具备扎实的理论基础和实际操作能力,以确保信息系统的安全性。

为了更好地备考考试,了解历年真题是非常重要的。

本文将汇编信息安全技术专业资格考试的历年真题,帮助考生进行全面复习和备考。

一、网络安全1. 在网络安全中,防火墙是什么?请简要介绍其原理和应用场景。

2. 请阐述网络钓鱼的概念和常见的攻击手段,以及如何预防网络钓鱼攻击。

3. 常见的网络攻击方式有哪些?请简要描述每种攻击方式及其防范措施。

二、系统安全1. 请解释什么是访问控制,列举不同的访问控制技术,并分别介绍其优缺点。

2. 什么是入侵检测系统(IDS)和入侵防御系统(IPS)?请简要描述它们的工作原理和应用场景。

3. 详细说明密码学在系统安全中的应用,包括对称加密和非对称加密的原理及其优缺点。

三、数据安全1. 请解释数据备份和恢复,包括完整备份、增量备份和差异备份的区别,以及数据恢复的方法和步骤。

2. 简要介绍常见的数据加密技术,包括对称加密、非对称加密和哈希算法,并分析它们的适用场景和安全性。

3. 请描述数据流水线和数据仓库的概念及其在数据安全中的应用,分别列举其优势和不足之处。

四、安全管理与评估1. 请解释风险评估和风险管理的概念,包括风险评估的方法和步骤,以及风险管理的措施和原则。

2. 简要介绍信息安全管理体系(ISMS)和安全风险管理体系(SRMS),分别描述其组成要素和实施步骤。

3. 请描述灾难恢复计划(DRP)和业务连续性计划(BCP),包括它们的目的和内容,以及如何制定和实施。

五、法律与伦理1. 请介绍信息安全相关的法律法规,包括网络安全法、数据保护法和计算机犯罪法等,分别描述其主要内容和适用范围。

2. 请解释伦理道德和职业道德在信息安全领域中的重要性,以及如何应对伦理道德问题和职业道德挑战。

3. 请描述信息安全专业人员的职责和义务,包括保护用户隐私、保护网络安全和维护信息真实性的职责。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

澳洲联邦村镇银行信息安全培训测试银行所在地: _______________ 员工姓名:_____________________ 得分:___________1.临时离开办公桌时,如果你的电脑屏幕正显示客户的帐户信息,你应该如何处理?()A、锁定我的电脑(锁定屏幕)B、完全关闭我的电脑(关掉电源)C、不必做什么,因为信息安全是IT部门的职责,IT系统应能保证信息安全2.一些最近你经常会查阅的报告放在你的桌面上,其中有需要保密的信息,你应该如何处理?()A、带回家扔到垃圾桶里,不会有人在家庭的垃圾里寻找银行的信息B、就让它们留在桌面上,因为我经常会用到,而且在银行的办公室里是很安全的C、将它们锁在抽屉或文件柜里3.你将一位同事的电话号码写在记事贴上并贴在你桌面显眼的地方,以提醒自己给他打电话,你是否需要作必要的安全处理?()A、是的。

我会将它锁在抽屉里B、是的。

我会将它撕掉C、不。

我会将它留在那里,这些信息并不会导致信息安全方面的风险4.有一份工作上的电子文件你需要在离开办公室的时候查阅,你如何将它发送给自己查看?()A、将它发送到我私人的GMAIL邮箱,需要的时候再从那里下载B、我离开办公室就不能查看它,必须等我回到办公室才能查看C、可以将它发送到我的公司邮箱,离开办公室的时候可以通过公司的Webmail(myemailanywhere)登录到我的邮箱查看5.你在中午外出吃饭时带上了公司的内部新闻简报阅读,里面是一些对公司员工的表彰信息和一些员工的成功经验故事,这种内容的新闻简报是否适合在外面的餐厅阅读?()A、可以的。

尽管从技术层面上来说这属于内部的简报,但就其内容而言,在公共场合阅读它并没有信息安全风险B、不可以。

这种内部新闻简报属于内部文件,绝对不可以在公共场合阅读它6.你外出时接到同事的电话,要求你告诉他你的密码,以便他能替你处理一些未完成的事务,你应该如何处理?()A、表示感谢,但不能给出你的密码。

等你回到办公室再自己处理这些任务,因为你需要时间考虑这些任务的内容是否适合通过电子邮件发送给你。

B、让他将任务的内容通过电子邮件发送给你,你很清楚不能将自己的密码告诉别人C、表示感谢并将密码告诉他,因为客户服务是最优先的任务,自己返回办公室后可以再修改密码。

7.你在火车站与同事通电话,四周有人,你们在谈论一位同事获奖的事情,这种情况下是否有信息安全方面的考虑?()A、是的。

任何有关公司的事情在任何情况下都不能在公众场合谈论B、没有问题。

因为在这次通话中并不涉及任何有关保密的信息8.两位同事在四周有人的公共场合谈论公司的人事安排,并提及具体的姓名和细节,这种信息是否可以在公共场合谈论?()A、没有问题。

信息安全仅限于那些物理的(例如,纸质文件)或电子的信息B、不应该。

涉及到人事方面的事只应该在公司内讨论,而且只能让需要了解的人知道C、如果他们的谈话不提及具体的人名就没有问题9.在机场看见一个人通过电脑访问网银,别人可以轻易地看到他的屏幕信息,还能看到他输密码时的击键。

这种情况下,此人可能会遇到什么后果?()A、没问题。

银行对于网银系统都有很多安全措施来验证客户的身份,预防金融犯罪的发生B、他不仅面临帐户资金被盗的可能,还可能会受害于其它的身份欺诈活动C、最坏的情况下,他这个帐户的资金有可能被盗取10.小王前台柜员调整到后台做贷款审批工作,小李是小王任柜员时的经理,在小王调离前,小李对于小王的系统访问权限需要做哪些工作?()A、小李需要在小王调离前取消他作为柜员的角色对系统的访问权限B、小李不需要做什么。

当一名员工在内部调动时,他原来的经理没有责任去取消这名员工原来角色的权限C、小李需要通知老张(小王的新领导),让老张去取消小王原来角色的系统访问权限11.(接上题的假设场景)老张是小王的新领导,他需要为小王的新角色分配系统访问权限。

他应该怎么做?()A、他应该让小王自己提出所需的权限,然后按小王的要求给他分配权限,如果有问题由小王自己负责B、用既定的角色权限模板作为工具,按该角色的具体情况,根据必需知道和最少知道的原则为小王分配权限C、将一名相同岗位的员工的权限分配文件直接拷贝过来作为小王的角色权限文件,这种方法比采用通用的模板更快捷,而且也更接近最新的情况12.(接上题的假设场景)小王从前台柜员调到后台做审批工作,前台和后台的系统访问权限是否可以由同一个人掌握?()A、不能。

前台直接处理客户账户和接收客户申请的工作与后台的审批不能由同一人处理,这是明显的权限冲突B、没有问题。

员工通常都可以保留以前岗位的访问权限C、这种情形不太理想,但在实际工作中是难以避免的。

因为这样做可以让小王在今后的工作中遇到需要访问前台系统时更方便13-14题场景:系统发现被感染恶意软件,调查后发现这是由于两方面的原因造成的:一是没有安装最新的补丁,由于安装这个最新的补丁将需要一系列的系统升级测试以及员工培训,而这需要花费高昂的成本;二是上次升级完成后没有进行全系统的集成测试,如果进行测试,就会发现该系统会自动启动一些不必要的服务。

13.老沈是使用该系统的业务部门负责人,他与该系统的项目经理小王讨论如何避免这种情况的发生。

其中使用该系统的业务部门负责人的职责是?(多选题)()A、在收到IT部门负责该系统的人的报告前,老沈不需要考虑其它的选项B、积极地参与事件的解决,作为使用该系统的业务部门负责人,他对系统的风险负有责任,必须保证该系统有足够的控制C、为系统安装最新的补丁和相关的测试培训提供足够的预算14.项目经理小王表示,他的团队在有限的预算中已经做了尽可能多的事情,他希望今后能够更好地解决“预算与安全”的冲突,作为业务部门负责人,老沈应如何在今后的工作中更好地解决这个问题?(多选题)()A、向领导要求无限制的预算承诺用于解决今后遇到的安全问题B、报告尚未解决的安全问题、安全漏洞以及尚未安装的补丁,以及不解决这些问题会对业务造成的潜在影响C、将实施和不实施这些安全措施可能对业务造成的影响进行关联和比较,使得对相关情况的沟通变为寻找一个风险可接受的方案,而不仅仅是关于成本预算的考量15.老沈是使用该系统的业务部门负责人,在考虑本部门的信息安全计划时,他列出了以下几点:∙我有一个用户账户验证的时间表∙我已经为渗透测试准备了足够的预算∙我已经了解所有的未解决的安全例外情况,我们有一个解决它们的计划。

老沈是否有忽略的地方?()A、没有忽略的地方。

他已经考虑到了他需要考虑的各个方面B、事实上,考虑以上这些事情是IT部门的责任,而不是业务部门的职责范围C、还需要对角色访问权限的管理有清晰的定义16.作为系统实施和维护的负责人,小王确认他只负责以下方面:∙安装安全补丁∙确保定期进行漏洞评估,并根据评估结果采取必要的措施∙管理系统级别的访问控制,包括用户验收测试的帐户。

除此之外,小王还应该负责哪一方面?()A、没有忽略的地方。

他已经考虑到了他需要考虑的各个方面B、小王应该等待负责安全的同事来告诉他应该做些什么C、应该管理风险而不仅仅是按流程拿着表格打勾,小王还应该承担所有他日常工作中的安全职责以下题目仅针对IT部门员工以及直接分管IT部门的行长(副行长)17.操作系统需要安装一个关键的安全补丁,然而,运行于此操作系统上的数据库却与该补丁不兼容,你应该如何处理这种情况?()A、通知使用该系统的业务部门(该系统的业主),让他们考虑如果有不兼容的情况发生时如何处理,或者让他们计划同时对数据库进行升级B、仍然安装这个补丁,因为这个补丁很重要C、立即对数据库进行升级,然后再安装补丁18.一个新系统需要连上互联网,在上线前你需要采用或参考哪些工具和措施来确保这个系统是安全的?(多选题)()A、架构和设计模式B、安全策略和标准C、上线前进行渗透测试D、自己从家里通过互联网对该系统进行漏洞扫描19.你将要在服务器上安装一个新系统。

该系统仅对银行的客户提供信息查询,不会执行任何交易或处理任何流程。

以下哪些方面仍然需要考虑?(多选题)()A、输入信息验证B、交易额度限制C、策略/漏洞检测的合规工具D、日志和监控E、信息的安全分级F、身份认证要求20.银行聘请第三方厂商对一个包含客户保密数据的系统进行配置工作,作为一个负责日常维护的IT人员,关于数据的保密应该作哪些考虑?(多选题)()A、为厂商对系统进行配置后的测试安排费用预算B、在数据转移的过程中保证数据的安全性C、从使用该系统的业务部门获取转移数据的批准D、对于能从中推导出客户身份的数据,要严格控制对其的访问E、根据情况,适当地对能识别身份的数据进行模糊化处理F、在配置工作完成后,能准确无误地将模糊化处理后的数据恢复成为实际的客户数据21.系统维护人员需要将部分数据从旧系统迁移到新系统,为了工作方便,该员工计划将数据提取到他的电脑中,然后通过电子邮件发送给合作的厂商,让厂商对数据进行格式转换使之符合新系统的格式,最后由厂商上载到新系统中。

该员工忽略了哪些信息安全方面的问题?(多选题)()A、他不应该在自己的电脑上处理生产数据B、在缺乏合适的控制以确保数据的完整性的情况下,他不应该让厂商对数据进行格式转换C、他不应该用电子邮件传送保密的数据D、他根本就不应该让厂商参与E、他不应该允许厂商直接将转换后的数据部署到生产环境F、在一个不受控制的环境中,他不应该让厂商接触到生产数据22.为准备一次重要的系统升级,系统维护人员准备将在测试环境中部署生产数据用于测试,在此情况下应考虑哪些安全控制措施以保护生产数据的安全性?(多选题)()A、在测试完成后将测试环境的数据修改回初始状态,然后写回到生产环境中B、确保被模糊化处理后的数据在测试环境中能保持其对测试功能的有效性C、确保仅提取内部用户账户内的数据用于测试D、对数据进行模糊化处理。