出自:信息安全师

有关信息安全事件的描述不正确的是()
A:信息安全事件的处理应该分类、分级
B:信息安全事件的数量可以反映企业的信息安全管控水平
C:某个时期内企业的信息安全事件的数量为零,这意味着企业面临的信息安全风险很小
D:信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生
在防御XSS攻击时,对于每一处由用户提交数据所控制的响应内容,()是关键的。
A:检查HTTP头中的HOST字段
B:净化输入数据
C:检查请求的资源对象
D:检查主机时间
在安全人员的帮助下,对数据提供访问权的责任在于:()
A:数据所有者
B:程序员
C:系统分析师
D:库管员
对安全策略的描述不正确的是()
A:信息安全策略(或者方针)是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方向,用于指导信息安全管理体系的建立和实施过程
B:策略应有一个属主,负责按复查程序维护和复查该策略
C:安全策略的内容包括管理层对信息安全目标和原则的声明和承诺;
D:安全策略一旦建立和发布,则不可变更
下列关于访问控制模型说法不准确的是?()
A:访问控制模型主要有3种:自主访问控制、强制访问控制和基于角色的访问控制。
B:自主访问控制模型允许主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问。
C:基于角色的访问控制RBAC中“角色”通常是根据行政级别来定义的。
D:强制访问控制MAC是“强加”给访问主体的,即系统强制主体服从访问控制政策。
在UNIX系统中,若文件File2的权限是511,则表示()
A:文件属主可执行File2
B:文件属主可写File2
C:同组用户可写File2
D:同组用户可执行File2
E:其他用户可读File2
期刊发表的周期有()。
A:日刊
B:周刊
C:半月刊
D:月刊
E:旬刊
在一家企业的业务持续性计划中,什么情况被宣布为一个危机没有被定义。这一点关系到的主要风险是:()
A:对这种情况的评估可能会延迟
B:灾难恢复计划的执行可能会被影响
C:团队通知可能不会发生
D:对潜在危机的识别可能会无效
管理评审的最主要目的是()
A:确认信息安全工作是否得到执行
B:检查信息安全管理体系的有效性
C:找到信息安全的漏洞
D:考核信息安全部门的工作是否满足要求
WindowsServer2003系统中,本地安全策略中不包括配置()的功能。
A:受限制的组
B:帐户策略
C:本地策略
D:IP安全策略
内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:()
A:导致对其审计独立性的质疑
B:报告较多业务细节和相关发现
C:加强了审计建议的执行
D:在建议中采取更对有效行动
HTTP请求方法()的作用是向服务器请求某个资源,但仅要求服务器返回响应消息的头部,不需要返回响应消息的主体。
A:PUT
B:GET
C:POST
D:HEAD
文件执行时将被映射到指定的内存地址中,这个初始的内存地址称为基地址。
关于缓冲区溢出的发生,下列说法中正确的是()
A:向缓冲区中写入超过缓冲区大小的数据会导致溢出发生
B:缓冲区溢出导致程序异常是因为覆盖了原来的合法数据
C:缓冲区溢出导致异常是因为写入了恰好等于缓冲区大小的特殊数据
D:缓冲区溢出是由于写入少量全零数据造成的
E:缓冲区溢出是由于写入恰好等于缓冲区大小的数据造成的
以下哪个选项不是信息中心(IC)工作职能的一部分?()
A:准备最终用户的预算
B:选择PC的硬件和软件
C:保持所有PC的硬件和软件的清单
D:提供被认可的硬件和软件的技术支持
ISO27001认证项目一般有哪几个阶段?()
A:管理评估,技术评估,操作流程评估
B:确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证
C:产品方案需求分析,解决方案提供,实施解决方案
D:基础培训,RA培训,文件编写培训,内部审核培训
关于万兆以太网的描述中,正确的是()
A:支持半双工工作方式
B:支持全双工工作方式
C:支持光纤作为传输介质
D:支持双绞线作为传输介质
E:与传统以太网帧结构不同
在确保用户提交数据安全方面,与HTML表单或脚本确认机制相比,厚客户端组件的特点是()
A:内部确认和处理机制不透明
B:更好的用户体验
C:透明的处理和确认过程
D:额外的组件下载安装
下列操作中,()容易产生SQL注入漏洞。
A:使用动态拼接的方式生成SQL查询语句
B:使用存储过程执行SQL查询
C:使用参数化SQL查询过程
D:限制SQl语句长度
审核方法不包括()
A:面谈
B:查阅文件和资料
C:与相关方核对
D:查看现场情况
下列关于DF命令的说法,正确的是()
A:参数-a显示包含全部的文件系统
B:参数--sync可以在显示磁盘信息之前同步磁盘信息
C:参数-k是以KB为单位显示文件系统
D:df命令可以格式化分区
E:df命令不可以显示文件系统的使用情况
下面哪一个不是对点击劫持的描述()
A:是一种恶意攻击技术,用于跟踪网络用户并获取私密信息
B:通过让用户来点击看似正常的网页来远程控制其电脑
C:可以用嵌入代码或文本的形式出现,在用户毫不知情的情况下完成攻击
D:可以对方网络瘫痪
下面哪一项不属于微软SDL的七个阶段之一?()
A:培训
B:需求
C:销售
D:验证
Kerberos依赖什么加密方式?()
A:ElGamal密码加密
B:秘密密钥加密。
C:Blowfish加密。
D:公钥加密。
从技术的角度讲,系统后门可以分为()
A:网页后门
B:线程插入后门
C:扩展后门
D:C/S后门
E:rootkit后门
下列关于句柄的描述,正确的是()
A:用于标识应用程序建立或使用对象
B:每个程序的句柄是唯一的
C:句柄是一个整数值
D:句柄仅表示应用程序的建立
E:句柄可以重复
信息资产面临的主要威胁来源主要包括()
A:自然灾害
B:系统故障
C:内部人员操作失误
D:以上都包括
各种硬编码的字符串与用户可终止的数据串联成最终执行语句,这属于典型()的特征。
A:SQL注入漏洞
B:跨站脚本漏洞
C:路径遍历漏洞
D:任意重定向漏洞
在不同的平台上进行代码审查,通常都包括确定用户提交数据、检查会话交互过程、检查潜在危险的API使用和检查平台安全配置这几个步骤。
银行柜员的访问控制策略实施以下的哪一种?()
A:基于角色的策略。
B:基于身份的策略。
C:基于用户的策略。
D:基于规则政策。
首页 <上一页 10 11 12 13 14 下一页> 尾页