信息安全工程師當天每日一練試題地址：www.shc2b.com/exam/ExamDay.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.shc2b.com/class/27/e6_1.html

信息安全工程師每日一練試題（2020/5/22）在線測試：www.shc2b.com/exam/ExamDay.aspx?t1=6&day=2020/5/22

點擊查看：更多信息安全工程師習題與指導

信息安全工程師每日一練試題內(nèi)容（2020/5/22）

試題1： When evaluating the collective effect of preventive, detective or corrective controls within a process, an IS auditor should be aware of which of the following? 
A、The point at which controls are exercised as data flow through the system 
B、Only preventive and detective controls are relevant 
C、Corrective controls can only be regarded as compensating 
D、Classification allows an IS auditor to determine which controls are missing 
試題解析與討論：www.shc2b.com/st/2981719250.html
試題參考答案：A

試題2：

電子商務交易必須具備抗抵賴性， 目的在于防止（）。
A.一個實體假裝成另一個實體            
B.參與此交易的一方否認曾經(jīng)發(fā)生過此次交易
C.他人對數(shù)據(jù)進行非授權(quán)的修改、破壞    
D.信息從被監(jiān)視的通信過程中泄漏出去

試題解析與討論：www.shc2b.com/st/2554313793.html
試題參考答案：B

試題3：

某單位根據(jù)業(yè)務需要準備立項開發(fā)一個業(yè)務軟件，對于軟件開發(fā)安全投入經(jīng)費研討時開發(fā)部門和信息中心就發(fā)生了分歧，開發(fā)部門認為開發(fā)階段無需投入，軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對性的解決，比前期安全投入要成本更低；信息中心則認為應在軟件安全開發(fā)階段投入，后期解決代價太大，雙方爭執(zhí)不下，作為信息安全專家，請選擇對軟件開發(fā)安全投入的準確說法?（）
A．信息中心的考慮是正確的，在軟件立項投入解決軟件安全問題，總體經(jīng)費投入比軟件運行后的費用要低
B．軟件開發(fā)部門的說法是正確的，因為軟件發(fā)現(xiàn)問題后更清楚問題所在，安排人員進行代碼修訂更簡單，因此費用更低
C．雙方的說法都正確，需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費用更低
D．雙方的說法都錯誤，軟件安全問題在任何時候投入解決都可以，只要是一樣的問題，解決的代價相同

試題解析與討論：www.shc2b.com/st/2749622018.html
試題參考答案：A

試題4： An organization has a number of branches across a wide geographical area. To ensure that all aspects of the disaster recovery plan are evaluated in a cost effective manner, an IS auditor should recommend the use of a: 
A、data recovery test. 
B、full operational test. 
C、posttest. 
D、preparedness test. 
試題解析與討論：www.shc2b.com/st/2921916506.html
試題參考答案：D

試題5：

以下關于威脅建模流程步驟說法不正確的是（）
A.威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅
B.評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計算風險
C.消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過重新設計直接消除威脅，或設計采用技術(shù)手段來消減威脅。
D.識別威脅是發(fā)現(xiàn)組件或進程存在的威脅，它可能是惡意的，威脅就是漏洞。

試題解析與討論：www.shc2b.com/st/290974848.html
試題參考答案：D

試題6：

下列哪種惡意代碼不具備“不感染、依附性”的特點？（）
A.后門
B.陷門
C.木馬
D.蠕蟲

試題解析與討論：www.shc2b.com/st/2705324411.html
試題參考答案：D

試題7：

某網(wǎng)站為了更好向用戶提供服務，在新版本設計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導致大量用戶賬號被盜用，關于以上問題的說法正確的是:（）
A.網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導致攻擊面增大，產(chǎn)生此安全問題
B.網(wǎng)站問題是由于用戶缺乏安全意識導致，使用了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此問題
C.網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題
D.網(wǎng)站問題是設計人員不了解安全設計關鍵要素，設計了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此問題

試題解析與討論：www.shc2b.com/st/2909427098.html
試題參考答案：D

試題8： 信息系統(tǒng)安全測評方法中模糊測試是一種黑盒測試技術(shù)，它將大量的畸形數(shù)據(jù)輸入到目標程序中，通過監(jiān)測程序的異常來發(fā)現(xiàn)被測程序中可能存在的安全漏洞、關于模糊測試，一下說法錯誤的是（）
A.與白盒測試相比，具有更好的適用性
B.模糊測試是一種自動化的動態(tài)漏洞挖掘技術(shù)，不存在誤報，也不需要人工進行大量的逆向分析工作
C.模糊測試不需要程序的源代碼就可以發(fā)現(xiàn)問題
D.模糊測試受限于被測系統(tǒng)的內(nèi)部實現(xiàn)細節(jié)和復雜度
試題解析與討論：www.shc2b.com/st/326969266.html
試題參考答案：D

試題9：

DDoS攻擊的主要目的是:（）
A.破壞完整性和機密性
B.破壞可用性
C.破壞機密性和可用性
D.破壞機密性

試題解析與討論：www.shc2b.com/st/2623815006.html
試題參考答案：B

試題10：

某集團公司根據(jù)業(yè)務需要，在各地分支機構(gòu)部署前置機，為了保證安全，集團總部要求前置機開放日志共享，由總部服務器采集進行集中分析，在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機中提取日志，從而導致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應采取以下哪項處理措施?（）
A．由于共享導致了安全問題，應直接關閉日志共享，禁止總部提取日志進行分析
B．為配合總部的安全策略，會帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風險
C．日志的存在就是安全風險，最好的辦法就是取消日志，通過設置讓前置機不記錄日志
D．只允許特定的IP 地址從前置機提取日志，對日志共享設置訪問密碼且限定訪問的時間

試題解析與討論：www.shc2b.com/st/2569112160.html
試題參考答案：D