信息安全工程師當天每日一練試題地址：http://m.xiexiliangjiufa.com/exam/ExamDay.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師每日一練試題（2017/3/14）在線測試：http://m.xiexiliangjiufa.com/exam/ExamDay.aspx?t1=6&day=2017/3/14

信息安全工程師每日一練試題內(nèi)容（2017/3/14）

試題1：

安全管理是信息系統(tǒng)安全能動性的組成部分，它貫穿于信息系統(tǒng)規(guī)劃、設計、運行和維護的各階段。安全管理中的介質(zhì)安全屬于（ ）。
A.技術安全
B.管理安全
C.物理安全
D.環(huán)境安全

試題解析與討論：http://m.xiexiliangjiufa.com/st/352122.html
試題參考答案：C

試題2： 以下關于IPsec協(xié)議的描述中，正確的是（）。
A. IPsec認證頭（AH）不提供數(shù)據(jù)加密服務
B. IPsec封裝安全負荷（ESP）用于數(shù)據(jù)完整性認證和數(shù)據(jù)源認證
C. IPsec的傳輸模式對原來的IP數(shù)據(jù)報進行了封裝和加密，再加上了新IP頭
D. IPsec通過應用層的Web服務建立安全連接
試題解析與討論：http://m.xiexiliangjiufa.com/st/1873128533.html
試題參考答案：A

試題3： 在使用影子口令文件(shadowedpasswords)的Linux系統(tǒng)中，/etc/passwd文件和/etc/shadow文件的正確權限分別是()。
A、rw-r-----,-r--------
B、rw-r--r--,-r--r--r—
C、rw-r--r--,-r--------
Drw-r--rw-,-r-----r--
試題解析與討論：http://m.xiexiliangjiufa.com/st/2231329615.html
試題參考答案：C

試題4：

軟件安全設計和開發(fā)中應考慮用戶穩(wěn)私包，以下關于用戶隱私保護的說法哪個是錯誤的?
A．告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用
B．當用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許
C．用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是
D．確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關法律法規(guī)

試題解析與討論：http://m.xiexiliangjiufa.com/st/256046922.html
試題參考答案：C

試題5：

在數(shù)據(jù)庫安全性控制中，授權的數(shù)據(jù)對象 ，授權子系統(tǒng)就越靈活?（）
A．.粒度越小
B．約束越細致
C．范圍越大
D．約束范圍大

試題解析與討論：http://m.xiexiliangjiufa.com/st/2562419910.html
試題參考答案：A

試題6：

信息安全的主要目的是為了保證信息的( )
A、 完整性、機密性、可用性
B、 安全性、可用性、機密性
C、 完整性、安全性、機密性
D、 可用性、傳播性、整體性

試題解析與討論：http://m.xiexiliangjiufa.com/st/2666818203.html
試題參考答案：A

試題7：

信息化建設和信息安全建設的關系應當是:（）
A.信息化建設的結束就是信息安全建設的開始
B.信息化建設和信息安全建設應同步規(guī)劃、同步實施
C.信息化建設和信息安全建設是交替進行的，無法區(qū)分誰先誰后
D.以上說法都正確

試題解析與討論：http://m.xiexiliangjiufa.com/st/26916239.html
試題參考答案：B

試題8：

關于ISO/IEC21827:2002(SSECMM)描述不正確的是（）?
A.SSECMM是關于信息安全建設工程實施方面的標準。
B. SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過程.
C.SSE-CMM模型定義了一個安全工程應有的特征，這些特征是完善的安全工程的根本保證。
D.SSE-CMM是用于對信息系統(tǒng)的安全等級進行評估的標準。

試題解析與討論：http://m.xiexiliangjiufa.com/st/269201606.html
試題參考答案：D

試題9：

下面關于信息系統(tǒng)安全保障模型的說法不正確的是：（）
A．國家標準《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB／T20274．1-2006)中的信息系統(tǒng)安全保障模型將風險和策略作為基礎和核心
B．模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化
C．信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全
D．信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入

試題解析與討論：http://m.xiexiliangjiufa.com/st/2747818292.html
試題參考答案：D

試題10： Is it appropriate for an IS auditor from a company that is considering outsourcing its IS processing to request and review a copy of each vendor's business continuity plan? 
A、Yes, because an IS auditor will evaluate the adequacy of the service bureau's plan and assist their company in implementing a complementary plan. 
B、Yes, because based on the plan, an IS auditor will evaluate the financial stability of the service bureau and its ability to fulfill the contract. 
C、No, because the backup to be provided should be specified adequately in the contract. 
D、No, because the service bureau's business continuity plan is proprietary information. 
試題解析與討論：http://m.xiexiliangjiufa.com/st/292375932.html
試題參考答案：A

試題11： Which of the following would normally be the MOST reliable evidence for an auditor? 
A、A confirmation letter received from a third party verifying an account balance 
B、Assurance from line management that an application is working as designed 
C、Trend data obtained from World Wide Web (Internet) sources 
D、Ratio analysis developed by the IS auditor from reports supplied by line management 
試題解析與討論：http://m.xiexiliangjiufa.com/st/2937020922.html
試題參考答案：A

試題12： Which of the following presents an inherent risk with no distinct identifiable preventive controls? 
A、Piggybacking 
B、Viruses 
C、Data diddling 
D、Unauthorized application shutdown 
試題解析與討論：http://m.xiexiliangjiufa.com/st/295631119.html
試題參考答案：C

試題13： An IS auditor performing an application maintenance audit would review the log of program changes for the: 
A、authorization of program changes. 
B、creation date of a current object module. 
C、number of program changes actually made. 
D、creation date of a current source program. 
試題解析與討論：http://m.xiexiliangjiufa.com/st/2956428988.html
試題參考答案：A

試題14： E-mail message authenticity and confidentiality is BEST achieved by signing the message using the: 
A、sender's private key and encrypting the message using the receiver's public key. 
B、sender's public key and encrypting the message using the receiver's private key. 
C、receiver's private key and encrypting the message using the sender's public key. 
D、receiver's public key and encrypting the message using the sender's private key. 
試題解析與討論：http://m.xiexiliangjiufa.com/st/296996092.html
試題參考答案：A

試題15： 一個組織有許多混合入口不能被升級到強安全，并且新的入口有著很好的安全。IS審計師建議替換不可勝計的入口，哪一個是IS審計師最好的證據(jù)（）
A、新的接入點具有更強的安全性負擔得起。
B、舊的接入點在性能方面較差。
C、組織的安全性和弱點一樣強。
D、新的接入點更容易管理。
試題解析與討論：http://m.xiexiliangjiufa.com/st/2998120284.html
試題參考答案：C

試題16： 成功攻擊一個系統(tǒng)的第一步應當是：（）
A、收集信息
B、獲取訪問權
C、拒絕服務
D、逃避檢測
試題解析與討論：http://m.xiexiliangjiufa.com/st/3007313750.html
試題參考答案：A

試題17： 大型連鎖店鋪，與電子轉(zhuǎn)帳（ EFT）在銷售點設備有一個中央通信處理器，用于連接銀行網(wǎng)絡。下列哪一項是最好的災難恢復計劃？（）
A .離線存儲的日常備份
B .選擇在線備份程序
C .安裝雙通訊鏈路
D .在網(wǎng)絡的其他地點部署備份程序
試題解析與討論：http://m.xiexiliangjiufa.com/st/302031924.html
試題參考答案：D

試題18： 服務水平管理（SLM）的首要目標是：（）
A、定義、批準、記錄和管理需要的服務水平.
B、保證被管理的服務是最高水平
C、將與每個服務相關的成本，控制在最低水平.
D、監(jiān)控和報告與企業(yè)管理的任何不合法事項.
試題解析與討論：http://m.xiexiliangjiufa.com/st/302869275.html
試題參考答案：A

試題19： 哪項控制措施是最好的檢測入侵的措施（）
A.用戶身份和用戶權限通過認證程序指派
B.當計算機不活動超過一定時間，使用自動登出功能
C.發(fā)生特定數(shù)量的失敗嘗試之后，自動登出系統(tǒng)啟動
D.登陸失敗嘗試，可以被安全管理員監(jiān)測到
試題解析與討論：http://m.xiexiliangjiufa.com/st/3042326524.html
試題參考答案：D

試題20： 在開發(fā)一個BCP是，終端用戶在一個階段是最重要的（）
A、業(yè)務恢復策略
B、詳細的計劃的制定
C、BIA
D、測試和維護
試題解析與討論：http://m.xiexiliangjiufa.com/st/3045922775.html
試題參考答案：C