2025年通信电子计算机技能考试-信息安全师笔试考试历年典型考题及考点含含答案.docx

2025年通信电子计算机技能考试-信息安全师笔试考试历年典型考题及考点含含答案

第1卷

一.参考题库(共100题)

1.开发人员认为系统架构设计不合理，需要讨论调整后，再次进入编码阶段。开发团队可能采取的开发方法为（）

A、瀑布模型

B、净室模型

C、XP模型

D、迭代模型

2.恶意脚本是指一切以制造危害或者损害系统为目的而修改系统或应用程序的脚本。

3.关于代码审查，下列说法中正确的是（）

A、代码审查不需要理解应用程序的逻辑

B、代码审查就是逐行查看所有代码

C、代码审查需要仔细检查包含危险功能的代

D、代码审查不需要审查负责处理用户数据的代码

4.由于独立的信息系统增加，一个国有房产公司要求在发生重大故障后，必须保证能够继续提供IT服务。需要实施哪个流程才能提供这种保证性？（）

A、可用性管理

B、IT服务连续性管理

C、服务级别管理

D、服务管理

5.在Linux操作系统中，为了授权用户具有管理员的某些个性需求的权限所采取的措施是什么？（）

A、告诉其他用户root密码

B、将普通用户加入到管理员组

C、使用visudo命令授权用户的个性需求

D、创建单独的虚拟账户

6.在某个公司中，以下哪个角色最适合评估信息安全的有效性？（）

A、公司的专家

B、业务经理

C、IT审计员

D、信息安全经理

7.使用存储过程应对SQL注入攻击时，尤其需要注意（）

A、存储过程中可能存在的代码缺陷

B、存储过程的编写方式

C、存储过程的执行效率

D、存储过程的调用次数

8.建立ISMS的步骤正确的是？（）

A、明确ISMS范围-确定ISMS策略-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）

B、定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）-确定ISMS策略

C、确定ISMS策略-明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）

D、明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-确定ISMS策略-设计ISMS文件-进行管理者承诺（审批）

9.以下哪一项不是跨站脚本攻击？（）

A、给网站挂马

B、盗取COOKIE

C、伪造页面信息

D、暴力破解密码

10.关于网页中的恶意代码，下列说法错误的是：（）

A、网页中的恶意代码只能通过IE浏览器发挥作用

B、网页中恶意代码可以修改系统注册表

C、网页中的恶意代码可以修改系统文件

D、网页中的恶意代码可以窃取用户的机密性文件

11.有助于确定服务器端技术的线索包括（）

A、版本信息

B、HTTP指纹

C、文件扩展名和目录名称

D、会话令牌

E、第三方代码组件

12.下列有关密码学的说法中错误的是：（）

A、密码学是研究信息系统安全必威体育官网网址的科学。由两个相互对立、相互斗争，而且又相辅相成、相互促进的分支科学所组成的，分别称为密码编码学和密码分析学。

B、密码编码学是对密码体制、密码体制的输入输出关系进行分析，以便推出机密变量、包括明文在内的敏感数据。

C、密码分析学主要研究加密消息的破译或消息的伪造。

D、密码编码学主要研究对信息进行编码，实现对信息的隐蔽。

13.Rootkit病毒一般分为进程注入式和驱动级。

14.内核映像补丁技术相对于内核映像替换技术的优势在于（）

A、可以适用于定制内核的系统

B、不需要root权限

C、不需要网络访问

D、不会产生日志记录项

15.跨站攻击是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的恶意代码。

16.信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

17.Linux