《CISP专业考试2022年8月真题库(第二套).docx》由会员分享,可在线阅读,更多相关《CISP专业考试2022年8月真题库(第二套).docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、CISP专业考试2022年8月真题库(其次套)1、美国的关键信息根底设施(criticalinformationinfratructure, CII)包括商用核设施、政府设施、 交通系统、饮用水和废水处理系统、公共安康和医疗、能源、银行和金融、 国防工业基地等等,美国政府强点保障这些根底设施信息安全,其主要原 因不包括A、这些行业都关系到国计民生,对经济运行和国家安全影响深远B、这些行业都是信息化应用广泛的领域C、这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺 乏的现象比其它行业更突出D、这些行业发生信息安全大事,会造成广泛而严峻的损失C2、关于我国信息安全保障工作进展的几个阶段,以
2、下哪个说法不正 确A、2022-2022年是启动阶段,标志性大事是成立了网络与信息安全 协调小组,该机构是我国信息安全保障工作的最高领导机构B、2022-2022年是逐步开放和乐观推动阶段,标志性大事是公布了 指导性文件关于加强信息安全保障工作的意见中办发27号文件) 并公布了国家信81息安全战略C、2022-至今是深化落实阶段,标志性大事是奥运会和世博会信息安全保障取得圆满成功D、2022-至今是深化落实阶段,信息安全保障体系建设取得实质性进 展,各项信息安全保障工作迈出了坚实步伐C3、依据国家标准/T20274信息系统安全保障评估框架,信息系统 安全目标(ISST)中,安全保障目的指的是A
3、、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D、信息系统整体安全保障目的、治理安全保障目的、技术安全保障 目的和工程安全保障目的D4、以下哪一项为哪一项数据完整性得到保护的例子?A、某网站在访问量突然增加时对用户连接数进展了限制,保证已登 录的用户可以完成操作B、在提款过程中ATM终端发生故障,银行业务系统准时对该用户的 账户余额进展了冲正操作C、某网管系统具有严格的审计功能,可以确定哪个治理员在何时对 核心交换机进展了什么操作D、李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装 成清洁工的商业间谍无法查看5、公司甲做了很多政府网站安全工程,在为
4、网游公司乙的网站设计 安全保障方案时,借鉴以前工程阅历,为乙设计了多重数据加密安全措施, 但用户有提出不需要这些加密措施,理由是影响了网站性能,使用户访问 量受限,双方引起争议。下面说法哪个是错误的A、乙对信息安全不重视,低估了黑客的力量,不舍得花钱B、甲在需求分析阶段没有进展风险评估,所部署的加密针对性缺乏, 造成铺张C、甲未充分考虑网游网站的业务与政府网站业务的区分D、乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求A6、进入21世纪以来,信息安全成为世界各国安全战略关注的重点, 纷纷制定并公布网络空间安全战略,但各国历史,国情和文化不同,网络 空间安全战略的内容也各不一样,以下说
5、法不正确的选项是A、与国家安全、社会稳定和民生亲热相关的关键根底设施是各国安 全保障的重点B、美国尚未设立中心政府级的特地机构处理网络信息安全问题,信 息安全治理职能由不同政府部门的多个机构共同担当C、各国普遍重视信息安全大事的应急响应处理D、在网络安全战略中,各国均强调加强政府治理力度,充分利用社 会资源,发挥政府与企业之间的合作关系7、与PDR模型相比,P2DR模型多了哪一个环节A、防护B、检测C、反响D、策略D8、以下关于工程的含义,理解错误的选项是A、工程是为到达特定的目的、使用肯定的资源、在确定的期间内、 为特定发起人而供给独特的产品、效劳或成果而进展的一次性努力B、工程有明确的开头
6、日期,完毕日期由工程的领导者依据工程进度 来随机确定C、工程资源指完成工程所需要的人、财、物等D、工程目标要遵守SMART原则,即工程的目标要求具体(Specific) 可测量(Meaurable) 需相关方的全都同步(Agreeto) 现实(Realitic)、有肯定的时限(Time-oriented)BA、CNCI是以风险为核心,三道防线首要的任务是降低其网络所面临 的风险B、从CNCI可以看此威逼主要是来自外部的,而漏洞和隐患主要是存在于内部的C、CNCI的目的是尽快研发并部署技术彻底转变其槽糕的网络安全现状,而不是在现在的网络根底上修修补补D、NCI彻底转变了以往的美国信息安全战略,不
7、再把关键根底设施视 为信息安全保障重点,而是追求全部网络和系统的全面安全保障D10、以下对于信息安全保障深度防范模型的说法错误的选项是A、信息安全外部环境:信息安全保障是组织机构安全、国家安全的一 个重要组成局部,因此对信息安全的争论必需放在国家政策、法律法规和 标准的外部环境制约下。B、信息安全治理和工程:信息安全保限需要在整个组织机构内建立和 完善信息安全治理体系,将信息安全治理综合至信息系统的整个生命周期, 在这个过程中,我们需要承受信息系统工程的方法来建设信息系统C、信息安全人才体系:在组织机构中应建立完善的安全意识,培训体 系也是信息安全保障的重要组成局部D、信息安全技术方案:“从外
8、而内、自下而上、形成边界到端的防 护力量”D11、如图,某用户通过账号、密码和验证码成功登录某银行的个人网 银系统,此过程属于以下哪一类A、个人网银系统和用户之间的双向鉴别B、由可信第三方完成的用户身份鉴别C、个人网银系统对用户身份的单向签别D、用户对个人网银系统合法性的单向鉴别C12、如以下图所示,Aice用Bob的密钥加密明文,将密文发送给 Bob, Bob再用自己的私钥解密,恢复出明文。以下说法正确的选项是A、此密码体制为对称密码体制B、此密码体制为私钥密码体制C、此密码体制为单钥密码体制D、此密码体制为公钥密码体制D13、以下哪一种方法属于基于实体“全部”鉴别方法A、用户通过自己设置的
9、口令登录系统,完成身份鉴别B、用户使用个人指纹,通过指纹识别系统的身份鉴别C、用户利用和系统协商的隐秘函数,对系统发送的挑战进展正确应答, 通过身份鉴别D、用户使用集成电路卡(如智能卡)完成身份鉴别D14、为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录, 然后使用“智能卡+短信认证”模式进展网上转账等交易,在此场景中用到 以下哪些鉴别方法A、实体“所知”以及实体“全部”的鉴别方法B、实体“全部”以及实体“特征”的鉴别方法C、实体“所知”以及实体“特征”的鉴别方法D、实体“全部”以及实体“行为”的鉴别方法A15、某单位开发了一个面对互联网供给效劳的应用网站.该单位托付 软件测评机构对软
10、件进展了源代码分析、模糊测试等软件安全性测试,在 应用上线前,工程经理提出了还需要对应用网站进展一次渗透性测试,作为 安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领 导做决策,以下哪条是渗透性测试的优势A、渗透测试以攻击者的思维模拟真实攻击,能觉察如配置错误等运行 维护期产生的漏洞B、渗透测试是用软件代替人工的一种测试方法,因此测试效率更高C、渗透测试使用人工进展测试,不依靠软件,因此测试更准确D、渗透测试中必需要查看软件源代码,因此测试中觉察的漏洞更多A16、软件安全设计和开发中应考虑用户稳私保护,以下关于用户隐私 保护的说法哪个是错误的A、告知用户需要收集什么数据及搜集到
11、的数据会如何披使用B、当用户的数据由于某种缘由要被使用时,给用户选择是否允许C、用户提交的用户名和密码属于稳私数据,其它都不是D、确保数据的使用符合国家、地方、行业的相关法律法规C17、软件安全保障的思想是在软件的全生命周期中贯彻风险治理的思 想,在有限资源前提下实现软件安全最优防护,避开防范缺乏带来的直接损 失,也需要关注过度防范造成的间接损失。在以下软件安全开发策略中,不 符合软件安全保障思想的是A、在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、 安全评审相关费用,确保安全经费得到落实B、在软件安全设计时,邀请软件安全开发专家对软件架构设计进展评 审,准时觉察架构设计中存在的安缺乏C、确保对软件编码人员进展安全培训,使开发人员了解安全编码根 本原则和方法,确保开发人员编写出安全的代码D、在软件上线前对软件进展全面安全性测试,包括源码分析、模糊 测试、渗透测试,未经以上测试的软件不允许上线运行A18、以下哪一项不是工作在网络其次层的隧道协议A、VTPB、L2FD、 L2TP19、如下图,主体S对客户01有读1R权限,对客体02有读R、写CW)、拥有(OWN)权限,该图所示的访问掌握实现方法是A、访问掌握表ACL)B、访问掌握矩阵