NISP一级二级题库练习题一卷.pdf

练习题第一卷

1．不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织

机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是

（）

A.定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风

险分析结果，以度量风险的可能性和缺失量

B.定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应

使用定量风险分析，而不应选择定性风险分析

C.定性风险分析过程中，往往需要凭借分析者的经验和直接进行，所以分析

结果和风险评估团队的素质、经验和知识技能密切相关

D.定性风险分析更具主观性，而定量风险分析更具客观性

答案：B

解析：定性分析也是风险评估方法的一种，大部分情况下选择定性分析和定

量分析相结合的方式，而不是不选择定性风险分析。

2．根据《关于开展信息安全风险评估工作的意见》的规定，错误的是()

A.信息安全风险评估分自评估、检查评估两形式，应以检查评估为主，自评

估和检查评估相互结合、互为补充

B.信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实

效‘的原则开展

C.信息安全风险评估应管贯穿于网络和信息系统建设运行的全过程

D.开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导

答案：A

解析：自评为主，检查为辅

3．某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令

的鉴别技术相比，关于此种鉴别技术说法不正确的是

A.所选择的特征（指纹）便于收集、测量和比较

B.每个人所拥有的指纹都是独一无二的

C.指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题

D.此类系统一般由用户指纹信息采集和指纹信息识别两部分组成

答案：C

解析：指纹识别系统存在安全威胁问题，同时存在着错误拒绝率和错误接受

率的问题。

4．在密码学的Kerchhof假设中，密码系统的安全性仅依赖于_______。

A.明文

B.密文

C.密钥

D.信道

答案；C

解析：柯克霍夫原则：密码系统的安全性依赖于密钥而不依赖于算法。

5．关于linux下的用户和组，以下描述不正确的是

A.在linux中，每一个文件和程序都归属于一个特定的“用户”

B.系统中的每一个用户都必须至少属于一个用户组

C.用户和组的关系可是多对一，一个组可以有多个用户，一个用户不能属于

多个组

D.root是系统的超级用户，无论是否文件和程序的所有者都具有访问权限

答案：C

解析：一个用户可以属于多个组。

6．张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的

昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻

击?

A.口令攻击

B.暴力破解

C.拒绝服务攻击

D.社会工程学攻击

答案：D

解析：D属于社会工程学攻击。

7．SARSA模型包括（），它是一个（），它在第一层从安全的角度定义了

（）。模型的每一层在抽象方面逐层减少，细节逐层增加，因此，它的层级都是

建在其他层之上的，从策略逐渐到技术和解决方案的（）。其思路上创新提出了

一个包括战略、概念、设计、实施、度量和审计层次的（）

A.五层；业务需求；分层模型；实施实践；安全链条

B.六层；分层模型；业务需求；实施实践；安全链条

C.五层；分层模型；业务需求；实施实践；安全链条

D.六层；分层模型；实施实践；业务需求；安全链条

答案；B

解析：SABSA舍伍德模型六层模型，从安全角度定义了业务需求

8．某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析，发现

此外挂是一个典型的木马后门，使黑客能够获得受害者电脑的访问权，该后门程

序为了达到长期驻留在受害都的计算机中，通过修改注册表启动项来达到后门程

序随受害者计算机系统启动而启动，这防范此类木马后门的攻击，以下做法无用

的是（）

A.不下载，不执行、不接收不来历明的软件

B.不随意打开来历不明的邮件，不浏览不健康不正规的网站

C.使用共享文件夹