第1題：

The information security policy that states “each individual must have their badge read at every controlled door” addresses which of the following attack methods?

A、Piggybacking

B、Shoulder surfing

C、Dumpster diving

D、Impersonation

信管網(wǎng)參考答案：A

信管網(wǎng)參考解析：信息安全策略中指明“每個人在每個受控的門前都要提交證章供檢查”，這主要是針對下面哪一項攻擊手段？

A、尾隨

B、窺視

C、垃圾數(shù)據(jù)研究

D、偽裝

注：指的是未經(jīng)授權(quán)的人捎帶以下授權(quán)者，不論是身體上的還是虛擬的，進入限制區(qū)域。這項政策解決了為陌生人開門的禮貌行為問題。如果每個員工必須在每個控制的門上讀到他們的徽章，任何未經(jīng)授權(quán)的人都不能進入敏感區(qū)域。查看用戶獲取敏感信息的肩膀可以通過未經(jīng)授權(quán)的人進入?yún)^(qū)域使用捎帶做的，但這一政策具體是指物理訪問控制。實施此政策不會阻止肩沖浪。垃圾搜尋，尋找有價值的信息，通過對一個組織的垃圾，可以做公司外部的物理邊界；因此，這一政策不該攻擊方法的地址。模仿是指一個社會工程師作為一個員工，試圖檢索所需的信息。社會工程攻擊的某些形式可以加入一個模仿攻擊和利用，但這些信息安全策略不地址假冒攻擊。

第2題：

以下不屬于信息安全風險評估中需要識別的對象是（）

A.資產(chǎn)識別

B.威脅識別

C.風險識別

D.脆弱性識別

信管網(wǎng)參考答案：C

信管網(wǎng)參考解析：

本題考查信息安全風險評估方面的知識。

信息安全風險評估是依照科學(xué)的風險管理程序和方法,充分地對組成系統(tǒng)的各部分所面臨的危險因素進行分析評價,針對系統(tǒng)存在的安全問題,根據(jù)系統(tǒng)對其自身的安全需求,提出有效的安全措施,達到最大限度減少風險、降低危害和確保系統(tǒng)安全運行的目的。信息安全風險評估中需要識別的對象包括:資產(chǎn)識別、威脅識別、脆弱性識別