CISP试题及答案二套题.docx
- 文档编号:24049713
- 上传时间:2023-05-23
- 格式:DOCX
- 页数:28
- 大小:26.92KB
CISP试题及答案二套题.docx
《CISP试题及答案二套题.docx》由会员分享,可在线阅读,更多相关《CISP试题及答案二套题.docx(28页珍藏版)》请在冰豆网上搜索。
CISP试题及答案二套题
1.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求,在证书有效期,应完成至少6次完整的信息安全服务经历,以下哪项不是信息安全服务:
A、为政府单位信息系统进行安全方案设计
B、在信息安全公司从事保安工作
C、在公开场合宣讲安全知识
D、在学校讲解信息安全课程
2.确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,不为其所用,是指():
A、完整性
B、可用性
C、性
D、抗抵赖性
3.下列信息系统安全说确的是:
A、加固所有的服务器和网络设备就可以保证网络的安全
B、只要资金允许就可以实现绝对的安全
C、断开所有的服务可以保证信息系统的安全
D、信息系统安全状态会随着业务的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略
4.OSI开放系统互联安全体系构架中的安全服务分为鉴别服务、访问控制、性服务、完整服务、抗抵赖服务,其中性服务描述正确的是:
A、包括原发方抗抵赖和接受方抗抵赖
B、包括连接性、无连接性、选择字段性和业务流
C、包括对等实体鉴别和数据源鉴别
D、包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性
5.电子商务交易必须具备抗抵赖性,目的在于防止___。
A、一个实体假装另一个实体
B、参与此交易的一方否认曾经发生过此次交易
C、他人对数据进行非授权的修改、破坏
D、信息从被监视的通信过程中泄露出去
6.下列哪一项准确地描述了可信计算基(TCB)?
A、TCB只作用于固件(Firmware)
B、TCB描述了一个系统提供的安全级别
C、TCB描述了一个系统部的保护机制
D、TCB通过安全标签来表示数据的敏感性
7.下面关于访问控制模型的说法不正确的是:
A、DAC模型中主体对它所属的对象和运行的程序有全部的控制权
B、DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何人的访问。
访问许可必须被显示地赋予访问者
C、在MAC这种模型里,管理员管理访问控制。
管理员制定策略,策略定义了哪个主体能访问哪个对象。
但用户可以改变它。
D、RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体。
系统进程和普通用户可能有不同的角色。
设置对象为某个类型,主体具有相应的角色就可以访问它。
8.安全模型明确了安全策略所需的数据结构和技术,下列哪项最好描述了安全模型中的“简单安全规则”?
A、Biba模型中的不允许向上写
B、Biba模型中的不允许向下读
C、Bell-Lapadula模型中的不允许向下写
D、Bell-Lapadula模型中的不允许向上读
9.以下关于访问控制模型错误的是?
A、访问控制模型主要有3种:
自主访问控制、强制访问控制和基于角色的访问控制。
B、自主访问控制模型允许主体显示地制定其他主体对该主体所拥有的信息资源是否可以访问。
C、基于角色的访问控制RBAC中,“角色”通常是根据行政级别来定义的。
D、强制访问控制MAC是“强加”给访问主体的,即系统强制主体服从访问控制政策
10.下面对于CC的“评估保证级”(EAL)的说法最准确的是:
A、代表着不同的访问控制强度
B、描述了对抗安全威胁的能力级别
C、是信息技术产品或信息技术系统对安全行为和安全功能的不同要求
D、由一系列保证组件构成的包,可以代表预先定义的保证尺度
11.某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分?
A、Bell-Lapadula模型
B、Biba模型
C、信息流模型
D、Clark-Wilson模型
12.以下哪一项关于Bell-Lapadula模型特点的描述是错误的?
A、强调对信息性的保护,受到对信息要求较高的军政机关和企业的喜爱
B、既定义了主体对客体的访问,也说明了主体对主体的访问。
因此。
它适用于网络系统
C、它是一种强制访问控制模型,与自主访问控制模型相比具有强耦合,集中式授权的特点
D、比起那些较新的模型而言,Bell-Lapadula定义的公理很简单,更易于理解,与所使用的实际系统具有直观的联系
13.下面对于基于角色的访问控制的说法错误的是?
A、它将若干特定的用户集合与权限联系在一起
B、角色一般可以按照部门、岗位、工程等与实际业务紧密相关的类别来划分
C、因为角色的变动往往低于个体的变动,所以基于角色的访问控制维护起来比较便利
D、对于数据库系统的适应性不强,是其在实际使用中的主要弱点
14.下面哪类访问控制模型是基于安全标签实现的?
A、自主访问控制
B、强制访问控制
C、基于规则的访问控制
D、基于身份的访问控制
15.根据PPDR模型:
A、一个信息系统的安全保障体系应当以人为核心、防护、检测和恢复组成一个完整的、动态的循环
B、判断一个系统的安全保障能力,主要是安全策略的科学性与合理性,以及安全策略的落实情况
C、如果安全防护时间小于检测时间加响应时间,则该系统一定是不安全的
D、如果一个系统的安全防护时间为0,则系统的安全性取决于暴露时间
16.有关密码学分支的定义,下列说法中错误的是:
A、密码学是研究信息系统安全的科学,由两个相互对立、相互斗争、而且又相辅相成、相互渗透的分支科学所组成的、分别称为密码编码学和密码分析学
B、密码编码学是对密码体制、密码体制的输入输出关系进行分析、以便推出变量、包括明文在的敏感数据
C、密码分析学主要研究加密信息的破译或信息的伪造
D、密码编码学主要研究对信息进行编码,实现信息的隐藏
17.非对称密钥的密码技术具有很多优点,其中不包括:
A、可提供数字签名、零知识证明等额外服务
B、加密/解密速度快,不需占用较多资源
C、通信双方事先不需要通过信道交换密钥
D、密钥持有量大大减少
18.下列哪一项最好地描述了哈希算法、数字签名和对称密钥算法分别提供的功能?
A、身份鉴别和完整性,完整性,性和完整性
B、完整性,身份鉴别和完整性,性和可用性
C、完整性,身份鉴别和完整性,性
D、完整性和性,完整性,性
19.以下哪一项是基于一个大的整数很难分解成两个素数因数?
A、ECC
B、RSA
C、DES
D、D-H
20、电子的性与真实性是通过下列哪一项实现的?
A、用发送者的私钥对消息进行签名,用接收者的公钥对消息进行加密
B、用发送者的公钥对消息进行签名,用接收者的私钥对消息进行加密
C、用接受者的私钥对消息进行签名,用发送者的公钥对消息进行加密
D、用接受者的公钥对消息进行签名,用发送者的私钥对消息进行加密
21、一名攻击者试图通过暴力攻击来获取?
A、加密密钥
B、加密算法
C、公钥
D、密文
22、在标准GBXXXX-XX中对机房安全等级划分正确的是?
A、划分为A、B两级
B、划分为A、B、C三级
C、划分为A、B、C、D四级
D、划分为A、B、C、D、E五级
23、指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:
A、你是什么
B、你有什么
C、你知道什么
D、你做了什么
24、在OSI模型中,主要针对远程终端访问,任务包括会话管理、传输同步以及活动管理等以下是哪一层?
A、应用层
B、物理层
C、会话层
D、网络层
25、下列哪个协议可以防止局域网的数据链路层的桥接环路
A、HSRP
B、STP
C、VRRP
D、OSPF
26、以下哪个不是应用层防火墙的特点
A、更有效地阻止应用层攻击
B、工作在OSI模型的第七层
C、速度快且对用户透明
D、比较容易进行审计
27、以下哪项不是IDS可以解决的问题:
A、弥补网络协议的弱点
B、识别和报告对数据文件的改动
C、统计分析系统中异常活动模式
D、提升系统监控能力
28、私网地址用于配置本地网络、下列地址中属私网地址的是?
A、100.0.0.0
B、172.15.0.0
C、192.168.0.0
D、244.0.0.0
29、下面哪类设备常用于风险分析过程中,识别系统中存在的脆弱性?
A、防火墙
B、IDS
C、漏洞扫描器
D、UTM
30、当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在该系统重新上线前管理员不需查看:
A、访问控制列表
B、系统服务配置情况
C、审计记录
D、用户和权限的设置
31、网络隔离技术的目标是确保把有害的攻击隔离,在保证可信网络部信息不外泄的前提下,完成网络间数据的安全交换,下列隔离技术中,安全性最好的是?
A、多重安全网关
B、防火墙
C、VLAN隔离
D、物理隔离
32、在windowsXP中用事件查看器查看日志文件,可看到的日志包括?
A、用户访问日志、安全性日志、系统日志和IE日志
B、应用程序日志、安全性日志、系统日志和IE日志
C、网络攻击日志、安全性日志、记账日志和IE日志
D、网络日志、安全性日志、服务日志和IE日志
33、windows操作系统的注册表运行命令是
A、regswr32
B、regedit
C、regedit.msc
D、regedit.mmc
34、以下windows服务的说法错误的是
A、为了提升系统的安全性管理员应尽量关闭不需要的服务
B、可以作为独立的进程运行或以DLL的形式依附在Svchost.exe
C、windows服务只有在用户成功登陆系统后才能运行
D、windows服务通常是以管理员的身份运行的
35、Linux系统格式化分区用哪个命令:
A、fdisk
B、mv
C、mount
D、df
36、下面一行是某个UNIX文件的详情,关于该文件权限的描述不正确的是
A、这是一个目录,名称是“file”
B、文件属性是group
C、“其他人”对该文件具有读、写、执行权限
D、user的成员对此文件没有写权限
37、LINUX系统的/etc目录从功能上看相当于windows的哪个目录
A、programfiles
B、windows
C、systemvolumeinformation
D、TEMP
38、如果想用windows的网上邻居方式和linux系统进行文件共享,那么在linux系统中要开启哪个服务:
A、DHCP
B、NFS
C、SAMBA
D、SSH
39、数据库管理员在检查数据库时发现数据库的性能不理想,他准备通过对部分数据表实施去除规性(denormanization)操作来提高数据库性能,这样做将增加下列哪项风险?
A、访问的不一致
B、死锁
C、对数据的非授权访问
D、数据完整性的损害
40、下面关于IIS报错信息含义的描述正确的是?
A、401-找不到文件
B、403-禁止访问
C、404-权限问题
D、500-系统错误
41、宏病毒是一种专门感染微软office格式文件的病毒,下列()文件不可能感染该病毒。
A、*.exe
B、*.doc
C、*.xls
D、*.ppt
42、以下对于蠕虫病毒的描述错误的是:
A、蠕虫的传播无需用户操作
B、蠕虫会消耗存或网络带宽,导致DOS
C、蠕虫的传播需要通过“宿主”程序或文件
D、蠕虫程序一般由“传播模块”、“隐藏模块”、“目的功能模块”构成
43、为了防止电子中的恶意代码,应该由____方式阅读电子
A、纯文本
B、网页
C、程序
D、会话
44、以下哪一项不是流氓软件的特征?
A、通常通过诱骗或和其他软件捆绑在用户不知情的情况下安装
B、通常添加驱动保护使用户难以卸载
C、通常会启动无用的程序浪费计算机的资源
D、通常会显示下流的言论
45、在典型的web应用站点的层次结构中,“中间件”是在哪里运行的?
A、浏览器客户端
B、web服务器
C、应用服务器
D、数据库服务器
46、为了应对日益严重的垃圾问题,人们设计和应用了各种垃圾过滤机制,以下哪一项是耗费计算资源最多的一种垃圾过滤机制?
A、SMTP身份认证
B、逆向名字解析
C、黑过滤
D、容过滤
47、无论是哪一种web服务器,都会受到HTTP协议本身安全问题的困扰,这样的信息系统安全漏洞属于:
A、设计型漏洞
B、开发型漏洞
C、运行型漏洞
D、以上都不是
48、基于攻击方式可以将黑客攻击分为主动攻击和被动攻击,以下哪一项不属于主动攻击
A、中断
B、篡改
C、侦听
D、伪造
49、关于黑客注入攻击说法错误的是:
A、它的主要原因是程序对用户的输入缺乏过滤
B、一般情况下防火墙对它无法防
C、对它进行防时要关注操作系统的版本和安全补丁
D、注入成功后可以获取部分权限
50、下面对于Rootkit技术的解释不准确的是:
A、Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具
B、Rootkit是一种危害大、传播围广的蠕虫
C、Rootkit和系统底层技术结合十分紧密
D、Rootkit的工作机制是定位和修改系统的特定数据改变系统的正常操作流程
51、以下对跨站脚本攻击(XSS)的解释最准确的一项是:
A、引诱用户点击虚假网络的一种攻击方法
B、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问
C、一种很强大的木马攻击手段
D、将恶意代码嵌入到用户浏览的WEB网页中,从而达到恶意的目的
52、以下哪一项是常见WEB站点脆弱性扫描工具:
A、AppScan
B、Nmap
C、Sniffer
D、LC
53、下面哪一项是黑客用来实施DDOS攻击的工具:
A、LC5
B、Rootkit
C、Icesword
D、Trinoo
54、对于信息系统访问控制说法错误的是?
A、应该根据业务需求和安全要求置顶清晰地访问控制策略,并根据需要进行评审和改进
B、网络访问控制是访问控制的重中之重,网络访问控制做好了操作系统和应用层次的访问控制问题就可以得到解决
C、做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控制中的有关责任
D、移动计算和远程工作技术在广泛应用给访问控制带来了新的问题,因此在访问控制工作中要重点考虑对移动计算设备和远程工作用户的控制措施
55、下面哪一项最好地描述了组织机构的安全策略?
A、定义了访问控制需求的总体指导方针
B、建议了如何符合标准
C、表明管理者意图的高层述
D、表明所使用的技术控制措施的高层述
56、资产管理是信息安全管理的重要容,而清楚的识别信息系统相关的财产,并编制资产清单是资产管理的重要步骤。
下面关于资产清单的说法错误的是:
A、资产清单的编制是风险管理的一个重要的先决条件
B、信息安全管理中所涉及的信息资产,即业务数据、合同协议、培训材料等
C、在制定资产清单的时候应根据资产的重要性、业务价值和安全分类,确定与资产重要性相对应的保护级别
D、资产清单中应当包括将资产从灾难中恢复而需要的信息,如资产类型、格式、位置、备份信息、许可信息等
57、为什么一个公司部的风险评估团队应该由来自不同部门的人员组成?
A、确保风险评估过程是公平的
B、因为风险正是由于这些来自不同部门的人员所引起的,因此他们应该承担风险评估的职责
C、因为不同部门的人员对本部门所面临的风险最清楚,由此进行的风险评估也最接近于实际情况
D、风险评估团队不应该由来自不同部门的人员组成,而应该由一个来自公司外部的小型团队组成
58、信息分类是信息安全管理工作的重要环节,下面那一项不是对信息进行分类时需要重点考虑的?
A、信息的价值
B、信息的时效性
C、信息的存储方式
D、法律法规的规定
59、下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的?
A、对安全违规的发现和验证是进行惩戒的重要前提
B、惩戒措施的一个重要意义在于它的威慑性
C、出于公平,进行惩戒时不应考虑员工是否是初犯,是否接受过培训
D、尽管法律诉讼是一种严厉有效的惩戒手段,但使用它时一定要十分慎重
60、风险分析的目标是达到:
A、风险影响和保护性措施之间的价值平衡
B、风险影响和保护性措施之间的操作平衡
C、风险影响和保护性措施之间的技术平衡
D、风险影响和保护性措施之间的逻辑平衡
61、以下对“信息安全风险”的描述正确的是
A、是来自外部的威胁利用了系统自身存在脆弱性作用于资产形成风险
B、是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险
C、是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险
D、是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险
62、在ISO27001-2005中,制定风险处置计划应该在PDCA的哪个阶段进行?
A、Plan
B、Do
C、Check
D、Act
63、在冗余磁盘列中,以下不具有容错技术的是——
A、RAID0
B、RAID1
C、RAID3
D、RAID5
64、为了达到组织灾难恢复的要求,备份时间间隔不能超过;
A、服务水平目标(SLO)
B、恢复时间目标(RTO)
C、恢复点目标(RPO)
D、停用的最大可接受程度(MAO)
65、以下对信息安全应急响应说法错误的是?
A、明确处理安全事件的工作职责和工作流程是应急响应工作中非常重要的--------
B、仅仅处理好紧急事件不是应急工作的的全部,通过信息安全事件进行总结和学习是很重要--------
C、对安全事件的报告和对安全弱点的报告都是信息安全事件管理的重要容
D、作为一个单位的信息安全主管,在安全事件中主要任务------------------完全是执法机构的事
66、目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是?
A.数据库系统庞大会提高管理成本
B.数据库系统庞大会降低管理效率
C.数据的集中会降低风险的可控性
D.数据的集中会造成风险的集中
67、对程序源代码进行访问控制管理时,以下那种做法是错误的?
A.若有可能,在实际生产系统中不保留源程序库。
B.对源程序库的访问进行严格的审计
C.技术支持人员应可以不受限制的访问源程序
D.对源程序库的拷贝应受到严格的控制规程的制约
68、以下对系统日志信息的操作中哪项是最不应当发生的?
A、对日志容进行编辑
B、只抽取部分条目进行保存和查看
C、用新的日志覆盖旧的日志
D、使用专用工具对日志进行分析
69、以下哪一项是对信息系统经常不能满足用户需求的最好解释:
A、没有适当的质量管理工具
B、经常变化的用户需求
C、用户参与需求挖掘不够
D、项目管理能力不强
70、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。
以下哪一种行为通常是不是在这一阶段中发生的?
A、进行系统备份
B、管理加密密钥
C、认可安全控制措施
D、升级安全软件
71、在信息安全管理工作中“符合性”的含义不包括哪一项?
A、对法律法规的符合
B、对安全策略和标准的符合
C、对用户预期服务效果的符合
D、通过审计措施来验证符合情况
72、下面哪一项最准确的阐述了安全监测措施和安全审计措施之间的区别?
A、审计措施不能自动执行,而检测措施可以自动执行
B、监视措施不能自动执行,而审计措施可以自动执行
C、审计措施是一次性地或周期性地进行,而监测措施是实时地进行
D、监测措施一次性地或周期性地进行,而审计措施是实时地进行
73、口令是验证用户身份的最常用手段,以下哪一种口令的潜在风险影响围最大?
A、长期没有修改的口令
B、过短的口令
C、两个人公用的口令
D、设备供应商提供的默认口令
74、系统工程是信息安全工程的基础学科,钱学森说:
“系统工程时组织管理系统规划,研究、制造、实验,科学的管理方法,使一种对所有系统都具有普遍意义的科学方法,以下哪项对系统工程的理解是正确的
A、系统工程是一种方法论
B、系统工程是一种技术实现
C、系统工程是一种基本理论
D、系统工程不以人参与系统为研究对象
75、项目管理是信息安全工程的基本理论,以下哪项对项目管理的理解是正确的:
A、项目管理的基本要素是质量,进度和成本
B、项目管理的基本要素是围,人力和沟通
C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织
D、项目管理是项目的管理者,在有限的资源约束下,运用系统的观点,方法和理论。
对项目涉及的技术工作进行有效地管理
76、在信息系统的设计阶段必须做以下工作除了:
A、决定使用哪些安全控制措施
B、对设计方案的安全性进行评估
C、开发信息系统的运行维护手册
D、开发测试、验收和认可方案
77、进行信息安全管理体系的建设是一个涉及企业文化,信息系统特点,法律法规等多方面因素的负杂过程,人们在这样的过程中总结了许多经验,下面哪一项是最不值得赞同的?
A、成功的信息安全管理体系建设必须得到组织的高级管理的直接支持
B、制定的信息安全管理措施应当与组织的文化环境相匹配
C、应该对ISO27002等国际标注批判地参考,不能完全照搬
D、借助有经验的大型国际咨询公司,往往可以提高管理体系的执行效
78、信息系统安全保障工程是一门跨学科的工程管理过程,他是基于对信息系统安全保障需求的发掘和对——————的理解,以经济,科学的方法来设计、开发、和建设信息系统,以便他能满足用户安全保障需求的科学和艺术。
A、安全风险
B、安全保障
C、安全技术
D、安全管理
79、关于SSE-CMM的描述错误的是:
A、1993年4月美国国家安全局资助,有安全工业界,英国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。
B、SSE-CMM的能力级别分为6个级别。
C、SSE-CMM讲安全工程过程划分为三类:
风险、工程和保证。
D、SSE的最高能力级别是量化控制
80、下面对SSE-CMM说法错误的是?
A、它通过域维和能力维共同形成对安全工程能力的评价
B、域维定义了工程能力的所有实施活动
C、能力维定义了工程能力的判断标注
D、“公共特征”是域维中对获得过程区目标的必要步骤的定义
81在SSE-CMM中对工程过程能力的评价分为三个层次,由宏
观到微观依次是
A能力级别-公共特征(CF)-通用实践(GP)
B能力级别-通用实践-(GP)-公共特征(CF)
C通用实践-(GP)-能力级别-公共特征(CF)
D公共特征(CF)-能力级别-通用实践-(GP)、
82、如果可以在组织围定义文档化的标准过程,在所有的项目规划、执行和跟踪已定义的过程,并且可以很好地协调项目活动和组织活动,则组织的安全能力成熟度可以达到?
A、规划跟踪定义
B、充分定义级
C、量化控制级
D、持续改进级
83、“配置管理”是系统工程的重要概念,他在软件工程和信息安全工程中得到广泛应用下面对“配置管理”解释最准确的是?
A、配置管理的本质是变更流程管理
B、配置管理是一个对系统(包括软件、硬件、文档、测试设备、开发\维护设备)所有变化进行控制的过程
C、配置管理是对信息系统的技术参数进行管理
D、管理配置是对系统基线和源代码的版本进行管理
84、根据SSE-C
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISP 试题 答案 二套题