信息安全工程師當(dāng)天每日一練試題地址：www.jazzmuze.com/exam/ExamDay.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jazzmuze.com/class/27/e6_1.html

信息安全工程師每日一練試題（2020/5/22）在線測(cè)試：www.jazzmuze.com/exam/ExamDay.aspx?t1=6&day=2020/5/22

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師每日一練試題內(nèi)容（2020/5/22）

試題1： When evaluating the collective effect of preventive, detective or corrective controls within a process, an IS auditor should be aware of which of the following? 
A、The point at which controls are exercised as data flow through the system 
B、Only preventive and detective controls are relevant 
C、Corrective controls can only be regarded as compensating 
D、Classification allows an IS auditor to determine which controls are missing 
試題解析與討論：www.jazzmuze.com/st/2981719250.html
試題參考答案：A

試題2：

電子商務(wù)交易必須具備抗抵賴性， 目的在于防止（）。
A.一個(gè)實(shí)體假裝成另一個(gè)實(shí)體            
B.參與此交易的一方否認(rèn)曾經(jīng)發(fā)生過此次交易
C.他人對(duì)數(shù)據(jù)進(jìn)行非授權(quán)的修改、破壞    
D.信息從被監(jiān)視的通信過程中泄漏出去

試題解析與討論：www.jazzmuze.com/st/2554313793.html
試題參考答案：B

試題3：

某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件，對(duì)于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認(rèn)為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對(duì)性的解決，比前期安全投入要成本更低；信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入，后期解決代價(jià)太大，雙方爭(zhēng)執(zhí)不下，作為信息安全專家，請(qǐng)選擇對(duì)軟件開發(fā)安全投入的準(zhǔn)確說法?（）
A．信息中心的考慮是正確的，在軟件立項(xiàng)投入解決軟件安全問題，總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低
B．軟件開發(fā)部門的說法是正確的，因?yàn)檐浖l(fā)現(xiàn)問題后更清楚問題所在，安排人員進(jìn)行代碼修訂更簡(jiǎn)單，因此費(fèi)用更低
C．雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低
D．雙方的說法都錯(cuò)誤，軟件安全問題在任何時(shí)候投入解決都可以，只要是一樣的問題，解決的代價(jià)相同

試題解析與討論：www.jazzmuze.com/st/2749622018.html
試題參考答案：A

試題4： An organization has a number of branches across a wide geographical area. To ensure that all aspects of the disaster recovery plan are evaluated in a cost effective manner, an IS auditor should recommend the use of a: 
A、data recovery test. 
B、full operational test. 
C、posttest. 
D、preparedness test. 
試題解析與討論：www.jazzmuze.com/st/2921916506.html
試題參考答案：D

試題5：

以下關(guān)于威脅建模流程步驟說法不正確的是（）
A.威脅建模主要流程包括四步：確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅和消減威脅
B.評(píng)估威脅是對(duì)威脅進(jìn)行分析，評(píng)估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計(jì)算風(fēng)險(xiǎn)
C.消減威脅是根據(jù)威脅的評(píng)估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過重新設(shè)計(jì)直接消除威脅，或設(shè)計(jì)采用技術(shù)手段來消減威脅。
D.識(shí)別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，威脅就是漏洞。

試題解析與討論：www.jazzmuze.com/st/290974848.html
試題參考答案：D

試題6：

下列哪種惡意代碼不具備“不感染、依附性”的特點(diǎn)？（）
A.后門
B.陷門
C.木馬
D.蠕蟲

試題解析與討論：www.jazzmuze.com/st/2705324411.html
試題參考答案：D

試題7：

某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號(hào)被盜用，關(guān)于以上問題的說法正確的是:（）
A.網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題
B.網(wǎng)站問題是由于用戶缺乏安全意識(shí)導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題
C.網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題
D.網(wǎng)站問題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題

試題解析與討論：www.jazzmuze.com/st/2909427098.html
試題參考答案：D

試題8： 信息系統(tǒng)安全測(cè)評(píng)方法中模糊測(cè)試是一種黑盒測(cè)試技術(shù)，它將大量的畸形數(shù)據(jù)輸入到目標(biāo)程序中，通過監(jiān)測(cè)程序的異常來發(fā)現(xiàn)被測(cè)程序中可能存在的安全漏洞、關(guān)于模糊測(cè)試，一下說法錯(cuò)誤的是（）
A.與白盒測(cè)試相比，具有更好的適用性
B.模糊測(cè)試是一種自動(dòng)化的動(dòng)態(tài)漏洞挖掘技術(shù)，不存在誤報(bào)，也不需要人工進(jìn)行大量的逆向分析工作
C.模糊測(cè)試不需要程序的源代碼就可以發(fā)現(xiàn)問題
D.模糊測(cè)試受限于被測(cè)系統(tǒng)的內(nèi)部實(shí)現(xiàn)細(xì)節(jié)和復(fù)雜度
試題解析與討論：www.jazzmuze.com/st/326969266.html
試題參考答案：D

試題9：

DDoS攻擊的主要目的是:（）
A.破壞完整性和機(jī)密性
B.破壞可用性
C.破壞機(jī)密性和可用性
D.破壞機(jī)密性

試題解析與討論：www.jazzmuze.com/st/2623815006.html
試題參考答案：B

試題10：

某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施?（）
A．由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析
B．為配合總部的安全策略，會(huì)帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)
C．日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過設(shè)置讓前置機(jī)不記錄日志
D．只允許特定的IP 地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問密碼且限定訪問的時(shí)間

試題解析與討論：www.jazzmuze.com/st/2569112160.html
試題參考答案：D