《2022年CISP复习题(5)100题.docx》由会员分享,可在线阅读,更多相关《2022年CISP复习题(5)100题.docx(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全专业人员知识测试试题(五)I. CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性:A.结构的开放性B.表达方式的通用性C.独立性实用性2 .根据信息安全等级保护管理办法、关于开展信息安全等级保护测评体系建设试点工作的通知(公信 安2009812号),关于推动信息安全等级保护()建设和开展()工作的通知(公信安2010303号)等文 件,由公安部()对等级保护测评机构管理,接受测评机构的申请、考核和定期(),对不具备能力的测评 机构则()A.等级测评;测评体系;等级保护评估中心;能力验证;取消授权B.测评体系;等级保护评估中心;等级测评;能力验证;取消授权C
2、.测评体系;等级测评;等级保护评估中心;能力验证;取消授权D.测评体系;等级保护评估中心;能力验证;等级测评;取消授权.以下哪个现象较好的印证了信息安全特征中的动态性()A.经过数十年的发展,互联网上已经接入了数亿台各种电子设备B刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险C某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击D.某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍产生了泄露3 .老王是某政府信息中心主任。以下哪项项目是符合保守国家移密法要求的()A.老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维修中心修理B
3、.老王要求下属小张把中心所有计算机贴上密级标志C.老王每天晚上12点将涉密计算机连接上互联网更新杀毒软件病毒库D.老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用.关于计算机取征描述不正确的是()A.计算机取证是使用先进的技术和工具,按照标准规程全面的检查计算机系统以提取和保护有关计算机犯罪 的 相关证据的活动B.取证的目的包括通过证据,查找肇事者,通过证据推断犯罪过程,通过证据判断受害者损失程度及涉及证 据 提供法律支持C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品,对于电子证据取证工 作 主要围绕两方面进行证据的获取和证据的保护D.计算机取证的过程
4、,可以分为准备,保护,提取,分析和提交五个步骤4 .()第23条规定存储、处理国家机秘密的计算机信息系统(以下简称涉密信息系统),按照()实行分 级保护,()应当按照国家保密标准配备保密设施、设备。()、设备应当与涉密信息系统同步规划、同 步建设、同步运行(三同步)。涉密信息系统应当按照规定,经()后方可投入使用。A.保密法;涉密程度;涉密信息系统;保密设施;检查合格B.国家保密法;涉密程度;涉密系统;保密设施;检查合格C.网络保密法;涉密程度;涉密系统;保密设施;检查合格D.安全保密法;涉密程度,涉密信息系统;保密设施;检查合格5 . Linux 系统的安全设置主要从磁盘分区、账户安全设置、
5、禁用危险服务、远程登录安全、用户鉴别安全、审 计策略、保护root账户、使用网络防火墙和文件权限操作共10个方面来完成。小张在学习了 Linux系统安全 的相关知识后,尝试为自己计算机上的Linux系统进行安全配置。下列选项是他的部分操作,其中不合理的是()OA.编辑文件/etc/passwd,检查文件中用户ID,禁用所有ID=0的用户59 .随着计算机和网络技术的迅速发展,人们对网络的依赖性达到了前所未有的程度,网络安全也面临着越来 越严峻的考验。如何保障网络安全就显得非常重要,而网络安全评估是保证网络安全的重要环节。以下不 属于 网络安全评估内容的是()A.数据加密B.漏洞检测C.风险评估
6、D.安全审计60 . 2006年5月8日电,中共中央办公厅、国务院办公厅印发了 (2006-2020年国家信息化发展战略。全 文分O部分共计约15000余字。对国内外的信息化发展做了宏观分析,对我国信息化发展指导思想和战略目标标准要阐述,对我国O发展的重点、行动计划和保障措施做了详尽描述。该战略指出了我国信息化发 展的(),当前我国信息安全保障工作逐步加强。制定并实施了 (),初步建立了信息安全管理体制和()o 基 础信息网络和重要信息系统的安全防护水平明显提高,互联网信息安全管理进一步加强。A. 5个;信息化;基本形势;国家安全战略;工作机制6个;信息化;基本形势;国家信息安全战略;工作机制
7、B. 7个;信息化;基本形势;国家安全战略;工作机制8个;信息化;基本形势;国家信息安全战略;工作机制 61.张主任的计算机使用Windows7操作系统,他常登陆的用户名为zhang,张主任给他个人文件夹设置了权限 为只有zhang这个用户有权访问这个目录,管理员在某次维护中无意将zhang这个用户删除了,随后又重新建 了一个用户名为zhang,张主任使用zhang这个用户登陆系统后,发现无法访问他原来的个人文件夹,原因 是()A.任何一个新建用户都需要经过授权才能访问系统中的文件B. windows不认为新建立用户zhang与原来的用户zhang同一个用户,因此无权访问C.用户被删除后,该用
8、户创建的文件夹也会自动删除,新建用户找不到原来用户的文件夹,因此无法访问D.新建的用户zhang会继承原来用户的权限,之所以无权访问时因为文件夹经过了加密62 . IS02007: 2013信息技术-安全技术-信息安全管理体系-要求为在组织内为建立、实施、保持和不断 改 进()制定了要求。IS027001标准的前身为()的BS7799标准,该标准于1993年由()立项,于1995年 英国首次出版 BS7799-1: 1995信息安全管理实施细则,它提供了一套综合的、由信息安全最佳惯例组成的 (),其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一(),并且适用大、中、小 组织。A.
9、ISMS;德国;德国贸易工业部;实施规则;参考基准B. ISMS;法国;法国贸易工业部;实施规则;参考基准C. ISMS;英国;英国贸易工业部;实施规则;参考基准D. ISMS;德国;德国贸易工业部;参考基准;实施规则.终端访问控制器访问控制系统(Terminal Access Controller Access-Control System, TACACS)由 RFC1492定义,标准的TACACS协议只认证用户是否可以登录系统,目前已经很少使用,TACACS+协议由Cisco 公司提出,主要应用于Ciso公司的产品中,运行与TCP协议之上。TACACS+协议分为()两个不同的过程 A.认证
10、和授权 B.加密和认证C.数字签名和认证 D.访问控制和加密.网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应急能力的基础上,针对可能发生的重 大网络与信息系统突发事件,预先制定的行动计划或应急对策。应急预案的实施需要各子系统的相互配合 与协 调,下面应急响应工作流程图中,空白方框中从右到左依次填入的是()oA.应急响应专家小组、应急响应技术保障小组、应急响应实施小组、应急响应日常运行小组B.应急响应专家小组、应急响应实施小组、应急响应技术保障小组、应急响应日常运行小组 C.应急响应技术保障小组、应急响应专家小组、应急响应实施小组、应急响应日常运行小组 D.应急响应技术保障小组、应
11、急响应专家小组、应急响应日常运行小组、应急响应实施小组65.随着计算机在商业和民用领域的应用,安全需求变得越来越多样化,自主访问控制和强制访问控制难以 适应需求,基于角色的访问控制(RBAC)逐渐成为安全领域的一个研究热点。RBAC模型可以分为RBACO、RBAC1、 RBAC2和RBAC3四种类型,它们之间存在相互包含关系。下列选项中,对它们关系描述错误的是()。A.RBACO 是基于模型,RBACK RBAC2和RBAC3都包含RBACOB. RBAC1在RBACO的基础上,加入了角色等级的概念RBAC2在RBAC1的基础上,加入了约束的概念D.RBAC3结合RBAC1和RBAC2,同时具
12、备角色等级和约束66.安全漏洞扫描技术是一类重要的网络安全技术。当前,网络安全漏洞扫描技术的两大核心技术是()oA. PING扫描技术和端口扫描技术B.端口扫描技术和漏洞扫描技术C.操作系统探测和漏洞扫描技术PING扫描技术和操作系统探测67 .下列选项中对信息系统审计概念的描述中不正确的是()A.信息系统审计,也可称作IT审计或信息系统控制审计R信息系统审计是一个获取并评价证据的过程,审计对象是信息系统相关控制,审计目标则是判断信息系 统是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性C信息系统审计师单一的概念,是对会计信息系统的安全性、有效性进行检查D从信息系统审计内
13、容上看,可以将信息系统审计分为不同专项审计,例如安全审计、项目合规审计、绩效审 计等.甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况,甲公司将这个任务委托了乙公司,那么乙公司的设计员应该了解0SI参考模型中的哪一层()A.数据链路层B.会话层C.物理层D.传输层68 .信息安全应急响应,是指一个组织为了应对各种安全意外事件的发生所采取的防范措施,既包括预防性 措施,也包括事件发生后的应对措施。应急响应方法和过程并不偶是唯一的,在下面的应急响应管理流程中, 空 白方框处填写正确的是选项是()培训阶段B.文档阶段C.报告阶段D.检测阶段.下面哪一项情景属于身份鉴别(Authen
14、tication)过程?()A.用户依照系统提示输入用户名和口令B.用户在网络上共享了自己编写的一份Office文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容 C.用户使用加密软件对自己家编写的Office文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容 D.某个人尝试登陆到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登陆过程记 录 在系统日志中69 .终端访问控制器访问控制系统(TERMINAL Access Controller Access-Control System, TACACS),在认 证过程中,客户机发送一个START包给服务器,包的内容包括
15、执行的认证类型、用户名等信息。START包只在 一个认证会话开始时使用一个,序列号永远为().服务器收到START包以后,回送一个REPLY包,表示认证 继续还是结束。A. 0 B. 1 C. 2 D. 472.为了开发高质量的软件,软件效率成为最受关注的话题。那么开发效率主要取决于以下两点:开发新功 能 是否迅速以及修复缺陷是否及时。为了提高软件测试的效率,应()。A.随机地选取测试数据B.取一切可能的输入数据为测试数据C.在完成编码以后制定软件的测试计划D.选择发现错误可能性最大的数据作为测试用例73.以下哪个组织所属的行业的信息系统不属于关键信息基础设施?A.人民解放军战略支援部队B.中
16、国移动吉林公司C.重庆市公安局消防总队D.上海市卫生与计划生育委员会74 .目前应用面临的威胁越来越多,越来越难发现。对应用系统潜在的威胁目前还没有统一的分类,但小赵 认 为同事小李从对应用系统的攻击手段角度出发所列出的四项例子中有一项不对,请问是下面哪一项O A. 数据访问权限 B.伪造身份 C.钓鱼攻击D.远程渗透.与PDR模型相比,P2DR模型则更强调(),即强调系统安全的(),并且以安全检测、()和自适应填充 “安全间隙”为循环来提高()oA.漏洞监测;控制和对抗;动态性;网络安全B.动态性;控制和对抗;漏洞监测;网络安全C.控制和对抗;漏洞监测;动态性;网络安全D.控制和对抗;动态性
17、;漏洞监测;网络安全76 .某单位在进行内部安全评估时,安全员小张使用了单位采购的漏洞扫描软件进行单位内的信息系统漏洞 扫 描。漏洞扫描报告的结论为信息系统基本不存在明显的安全漏洞,然而此报告在内部审计时被质疑,原因 在于 小张使用的漏洞扫描软件采购于三年前,服务已经过期,漏洞库是半年前最后一次更新的。关于内部审 计人员 对这份报告的说法正确的是()A.内部审计人员的质疑是对的,由于没有更新漏洞库,因此这份漏洞扫描报告准确性无法保证B.内部审计人员质疑是错的,漏洞扫描软件是正版采购,因此扫描结果是准确的C.内部审计人员的质疑是正确的,因为漏洞扫描报告是软件提供,没有经过人为分析,因此结论不会准
18、确 D. 内部审计人员的质疑是错误的,漏洞软件是由专业的安全人员操作的,因此扫描结果是准确的77 .信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估,就是在信息系统所处的运行环境 中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的(),向信 息系统的所有相关方提供信息系统的O能够实现其安全保障策略,能够将将其所面临的风险降低到其可接 受的程度的主观信心。信息系统安全保障评估的评估对象是(), 信息系统安全保障是一个动态持续的过程,涉及信息系统整个(),因此信息系统安全保障的评估也应该提供一种()的信心。A.安全保障工作;客观证据;信息系统;生命周期
19、;动态持续 B.客观证据;安全保障工作;信息系统;生命周期;动态持续 C.客观证据;安全保障工作;生命周期;信息系统;动态持续 D.客观证据;安全保障工作;动态持续;信息系统;生命周期.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下列哪一项最好地 描 述了星或(-)完整性原则?()A. Bell-LaPadula模型中的不允许向下写Bell-LaPadula模型中的不允许向上读B. Biba模型中的不允许向上写Biba模型中的不允许向下读 79.组织应定期监控、审查、审计()服务,确保协议中的信息安全条款和条件被遵守,信息安全事件和问 题 得到妥善管理。应将管理供
20、应商关系的责任分配给指定的个人或()团队。另外,组织应确保落实供应商 符合 性审查和相关协议要求强制执行的责任。应保存足够的技术技能和资源的可用性以监视协议要求尤其是()要求的实现。当发现服务交付的不足时,宜采取().当供应商提供的服务,包括对()方针、规程和控 制 措施的维持和改进等发生变更时,应在考虑到其对业务信息、系统、过程的重要性和重新评估风险的基础 上管 理。A.供应商;服务管理;信息安全;合适的措施;信息安全.服务管理;供应商;信息安全;合适的措施;信息安全C.供应商;信息安全;服务管理;合适的措施;信息安全D.供应商;合适的措施;服务管理;信息安全;信息安全80 .下列关于面向对
21、象测试问题的说法中,不正确的是()A在面向对象软件测试时,设计每个类的测试用例时,不仅仅要考虑用各个成员方法的输入参数,还需要考 虑 如何设计调用的序列R构造抽象类的驱动程序会比构造其他类的驱动程序复杂C类B继承自类A,如对B进行了严格的测试,就意味着不需再对类A进行测试D.在存在多态的情况下,为了达到较高的测试充分性,应对所有可能的绑定都进行测试.火灾是机房日常运营中面临最多的安全威胁之一,火灾防护的工作是通过构建火灾预防、检测和响应系 统,保护信息化相关人员和信息系统,将火灾导致的影响降低到可接受的程度。下列选项中,对火灾的预防、检测和抑制的措施描述错误的选项是()OA.将机房单独设置防火
22、区,选址时远离易燃易爆物品存放区域,机房外墙使用非燃烧材料,进出机房区域的 门 采用防火门或防火卷帘,机房通风管设防火栓B.火灾探测器的具体实现方式包括;烟雾检测、温度检测、火焰检测、可燃气体检测及多种检测复合等C.自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器,只要有一个探测器报警,就立即启动灭 火 工作D.前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等.信息安全管理体系也采用了 ()模型,该模型可应用于所有的()o ISMS把相关方的信息安全要求和期望作为输入,并通过必要的(),产生满足这些要求和期望的()oISMS; PDCA过程;行动和过程;信息安全结果A.
23、PDCA;ISMS过程;行动和过程;信息安全结果ISMS;PDCA过程;信息安全结果;行动和过程B. PDCA;ISMS过程;信息安全结果;行动和过程.你是单位安全主管,由于微软刚发布了数个系统漏洞补丁,安全运维人员给出了针对此漏洞修补的四个 建 议方案,请选择其中一个最优方案执行()A.由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器和客户端尽快安装 补 TB.本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先不做处理C.对于重要的服务,应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署D.对于服务器等重要设备,立即使用系统更
24、新功能安装这批补丁,用户终端计算机由于没有重要数据,由终 端 自行升级84.小王学习了灾备备份的有关知识,了解到常用的数据备份方式包括完全 备份、增量备份、差量备份,为了 巩固所学知识,小王对这三种备份方式进行对比,其中在数据恢复速度方面三种备份方式由快到慢的顺序 是()A.完全备份、增量备份、差量备份B.完全备份、差量备份、增量备份C.增量备份、差量备份、完全备份D.差量备份、增量备份、完全备份.在网络交易发达的今天,贸易双方可以通过签署电子合同来保障自己的合法权益。某中心推出电子签名 服 务,按照如图方式提供电子签名,不属于电子签名的基本特性的是O oA.不可伪造性B.不可否认性C.保证消
25、息完整性D.机密性85 .风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档,其中,明确评估的目的、 职 责、过程、相关的文档要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据的文档是()A风险评估方案B.风险评估程序C资产识别清单D.风险评估报告.等级保护实施根据GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南分为五大阶段;()、总体规划、设计实施、()和系统终止。但由于在开展等级保护试点工作时,大量信息系统已经建设 完 成,因此根据实际情况逐步形成了()、备案、差距分析(也叫差距测评)、建设整改、验收测评、定期 复查 为流程的()工
26、作流程。和等级保护实施指南中规定的针对()的五大阶段略有差异。A.运行维护;定级;定级;等级保护;信息系统生命周期B.定级;运行维护;定级;等级保护;信息系统生命周期C.定级运行维护;等级保护;定级;信息系统生命周期D.定级;信息系统生命周期;运行维护;定级;等级保护88.保护-检测-响应(Protection-Detection-Response, PDR)模型是()工作中常用的模型,七思想是承认 ()中漏洞的存在,正视系统面临的(),通过采取适度防护、加强()、落实对安全事件的响应、建立对 威胁的防护来保障系统的安全。A.信息系统;信息安全保障;威胁;检测工作B.信息安全保障;信息系统;检
27、测工作;威胁;检测工作C.信息安全保障;信息系统;威胁;检测工作D.信息安全保障;威胁;信息系统;检测工作89.在极限测试过程中,贯穿始终的是()A.单元测试和集成测试B.单元测试和系统测试C.集成测试和验收测试D.集成测试和系统测试.美国系统工程专家霍尔(A.D. Hall)在1969年利用机构分析法提出著名的霍尔三维结构,使系统工程的工 作阶段和步骤更为清晰明了,如图所示,霍尔三维结构是将系统工程整个活动过程分为前后紧密衔接的()阶段 和()步骤,同时还考虑了为完全这些阶段和步骤所需要的各种()o这样,就形成了由()、()、和知 识维所组成的三维空间结构。工行庚1他E 一社会科少A.五个;
28、七个;专业知识和技能;时间维;逻辑维 B.七个;七个;专业知识和技能;时间维;逻辑维 C.七个;六个;专业知识和技能;时间维;逻辑维 D.七个;六个;专业知识和技能;时间维;空间维90 .社会工程学是()与()结合的学科,准确来说,它不是一门科学,因为它不能总是重复合成功,并且 在 信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的(),随着时间流逝最终都会失 效,因为系统的漏洞可以弥补,体系的缺陷可能随着技术的发展完善或替代,社会工程学利用的是人性的“弱 点”, 而人性是O,这使得它几乎是永远有效的()OA.网络安全;心理学;攻击方式;永恒存在的;攻击方式B.网络安全;攻击方式
29、;心理学;永恒存在的;攻击方式C.网络安全;心理学;永恒存在的;攻击方式D.网络安全;攻击方式;心理学;攻击方式;永恒存在的.系统安全工程能力成熟度模型评估方法(SSAM, SSE-CMM Appraisal Method)是专门基于SSE-CMM的评估 方法。它包含对系统安全工程-能力成熟度模型中定义的组织的()流程能力和成熟度进行评估所需的()。SSAM 评估过程分为四个阶段,()、()、()、()。A.信息和方向;系统安全工程;规划;准备;现场;报告B. 信息和方向;系统工程;规划;准备;现场;报告 C.系统安全工程;信息;规划;准备;现场;报告 D.系统安全工程;信息和方向;规划;准备
30、;现场;报告.当使用移动设备时,应特别注意确保()不外泄。移动设备方针应考虑与非保护环境移动设备同时工作时 的 风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时,要加以小心。应采取保护措施 以避 免通过这些设备存储和处理的信息未授权的访问或泄露,如使用()、强制使用秘钥身份验证信息。要对 移动计 算设施进行物理保护,以防被偷窃,例如,特别是遗留在汽车和其他形式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算机设施的被窃或丢失等情况建立一个符号法律、保险和组织的其他安全要 求的()。 携带重要、敏感和或关键业务信息的设备不宜无人值守,若有可能,要以物理的方式锁起来,或 使用
31、()来保 护设备。对于使用移动计算设施的人员要安排培训,以提高他们对这种工作方式导致的附加风 险的意识,并 且要实施控制措施。A.加密技术;业务信息;特定规程;专用锁B.业务信息;特定规程;加密技术;专用锁C.业务信息;加密技术;特定规程;专用锁D.业务信息;专用锁;加密技术;特定规程94 .在规定的时间间隔或重大变化发生时,组织的额()和实施方法(如信息安全的控制目标、控制措施、方针、过程和规程)应()。独立评审宜由管理者启动,由独立被评审范围的人员执行,例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的()。管理人员宜对 自己职 责范围内的信息处理
32、是否符合合适的安全策略、标准和任何其他安全要求进行()o为了日常功评审 的效率, 可以考虑使用自动测量和()o评审结果和管理人员采取的纠正措施宜被记录,且这些记录宜予以 维护。 A.信息安全管理;独立审查;报告工具;技能和经验;定期评审B.信息安全管理;技能和经验;独立审查;定期评审;报告工具C.独立审查;信息安全管理;技能和经验;定期评审;报告工具D.信息安全管理;独立审查;技能和经验;定期评审;报告工具.选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在重要的位置,信息资产的保护 很大程度上取决与场地的安全性,一个部署在高风险场所的额信息系统是很难有效的保障信息资产安全性的
33、。 为了保护环境安全,在下列选项中,公司在选址时最不应该选址的场地是0.A.自然灾害较少的城市B.部署严格监控的独立园区C.大型医院旁的建筑D.加油站旁的建筑96. 1998 年英国公布标准的第二部分信安全管理体系规范,规定()管理体系要求与()要求,它是一个 组织的全面或部分信息安全管理体系评估的(),它可以作为一个正式认证方案的()0BS 7799T与BS7799-2经过 修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及()的责任。A.信息安全;信息安全控制;根据;基础;信息安全B.信息安全控制;信息安全
34、;根据;基础;信息安全C.信息安全控制;信息安全;基础;根据;信息安全D.信息安全;信息安全控制;基础;根据;信息安全97.某计算机机房由于人员疏忽或设备老化可能会有发生火灾的风险。该计算机机房的资产价值为200万元; 如果发生火灾,资产总值将损失至资产值的25%;这种火灾发生的可能性为25年发生一次。则这种威胁的年度 损失预期值为0._A. 10, 000 元 B. 15, 000 元 C. 20, 000 元 D. 25, 000 元98 .安全审计师一种很常见的安全控制措施,它在信息全保障系统中,属于()措施。A.保护B.检测C.响应D.恢复.下列选项分别是四种常用的资产评估方法,哪个是
35、目前采用最为广泛的资产评估方法()oA.基于知识的分析方法B.基于模型的分析方法C.定量分析D.定性分析100. 访问控制方法可分为自主访问控制、强制访问控制和基于角色访问控制,它们具有不同的特点和应 用 场景。如果需要选择一个访问控制模型,要求能够支持最小特权原则和职责分离原则,而且在不同的系统 配置 下可以具有不同的安全控制,那么在(1)自主访问控制,(2)强制访问控制,(3)基于角色的访问控 制(4) 基于规则的访问控制中,能够满足以上要求的选项有()A.只有(1) (2)B.只有(2) (3)C.只有(3) (4)D.只有(4)注册信息安全专业人员资质认证考试CISP模拟考试姓名考试日
36、期身份证声明:(1)本考卷题目知识产权属于中国信息安全产品测评认证中心,任何人不可将考 试题目泄露给他人,违者将追究其相关责任。(2)试卷答案请填写在答题卡,考试结束后,将此试卷与答题卡一起上交,缺一 无效。(3)本试卷均为单选题,请选择最恰当的一个答案作答。(4)如有任何建议请e-mail:1. 在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统网络B. 数据库应用程序系统答案:A备注:标准和法规(TCSEC)2. 下述攻击手段中不属于DOS攻击的是:()Smurf 攻击A. Land攻击Teardrop 攻击B. CGI溢出攻击答案:Do3. 国家秘密的密级分为:()“普密”、“
37、商密”两个级别A. “低级”和“高级”两个级别“绝密”、“机密”、“秘密”三个级别B. 一密”、二密”、“三密”、“四密”四个级别答案:Co4. 应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试单元测试、系统测试、集成测试、验收测试B. 验收测试、单元测试、集成测试、系统测试单元测试、集成测试、系统测试、验收测试答案:选项D。5. 多层的楼房中,最适合做数据中心的位置是:A. 一楼地下室B. 顶楼除以上外的任何楼层答案:Do随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必 须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测
38、评认证中心正是由国家授权 从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。B. 编辑文件/etc/ssh/sshd _config,将 Permit RootLogin 设置为 no编辑文件 /etc/pam. d/systenTauth , 设 置 auth required pam tally, so onerr=fail deny=6 unlock time-300编辑文件/etc/profile,设置 TMOUT=600. PDCA循环又叫戴明环,是管理学常用的一种模型
39、。关于PDCA四个字母,下面理解错误的是()A.P是Plan,指分析问题、发现问题、确定方针、目标和活动计划B.D是Do,指实施、具体运作,实现计划中的内容C.C是Check,指检查、总结执行计划的结果,明确效果,找出问题D.A是Aim,指瞄准问题,抓住安全事件的核心,确定责任8 .在国家标准GB/T 20274. 1-2006信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型 中,信息系统安全保障模型包含哪几个方面?()A.保障要素、生命周期和运行维护B.保障要素、生命周期和安全特征C.规划组织、生命周期和安全特征D.规划组织、生命周期和运行维护10.目前,信息系统面临外部攻击者的
40、恶意攻击威胁,从成胁能力和掌握资源分,这些威胁可以按照个人或 胁、 组织威胁和国家威胁三个层面划分,则下面选项中属于组织威胁的是()A.喜欢恶作剧、实现自我挑战的娱乐型黑客B.实施犯罪、获取非法经济利益网络犯罪团伙C.搜集政治、军事、经济等情报信息的情报机构巩固战略优势,执行军事任务、进行目标破坏的信息作战部队11.若一个组织声称自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求,其信息安全控制措施通常需要 在资产管理方面安施常规控制,资产管理包含对资产负责和信息分类两个控制目标。信息分类控制的目标 是为 了确保信息受到适当级别的保护,通常采取以下哪项控制措施()A.资产
41、清单B.资产责任人C.资产的可接受使用D.分类指南,信息的标记和处理 12.有关质量管理,错误的理解是()。A.质量管理是与指挥和控制组织质量相关的一系列相互协调的活动,是为了实现质量目标,而进行的所有管 理 性质的活动B.规范质量管理体系相关活动的标准是ISO 9000系列标准C质量管理体系将资源与结果结合,以结果管理方法进行系统的管理D质量管理体系从机构,程序、过程和总结四个方面进行规范来提升质量13 .在某信息系统的设计中,用户登录过程是这样的:(1)用户通过HTTP协议访问信息系统;(2)用户在登录 页面输入用户名和口令;(3)信息系统在服务器端检查用户名和密码的正确性,如果正确,则鉴
42、别完成。可 以看出,这个鉴别过程属于()单向鉴别B双向鉴别C三向鉴别D.第三方鉴别14 .随机进程名称是恶意代码迷惑管珊员和系统安全检查人员的技术手段之一,以下对于随机进程名技术。描述 正确的是()。A.随机进程名技术虽然每次进程名都是随机的,但是只要找到了进程名称,就找到了恶意代码程序本身B.恶意代码生成随机进程名称的目的是使过程名称不固定,因为杀毒软件是按照进程名称进行病毒进程查杀 C.恶意代码使用随机进程名是通过生成特定格式的进程名称,使进程管理器中看不到恶意代码的进程D随机进程名技术每次启动时随机生成恶意代码进程名称,通过不固定的进程名称使自己不容易被发现真实认证公告将在一些媒体上定期
43、发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。B. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。C. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。答案:Do. 计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A. 系统管理员律师B. 恢复协调员硬件和软件厂商答案:Bo.下面的哪种组合都属于多边安全模型?A. TCSEC 和 Bell-LaPadulaChinese Wall 和 BMAB. TCSEC 和 Clark-WilsonChinese Wall 和 Biba答案:Bo.下面哪种方法可以替代电子银
44、行中的个人标识号(PINs)的作用?A. 虹膜检测技术语音标识技术B. 笔迹标识技术指纹标识技术答案:Ao备注:安全技术访问控制(标识和鉴别)7 .拒绝服务攻击损害了信息系统的哪一项性能?A. 完整性可用性B. 保密性可靠性答案:Bo备注:安全技术安全攻防实践8 .下列哪一种模型运用在JAVA安全模型中:A. 白盒模型黑盒模型B. 沙箱模型灰盒模型备注:信息安全架构和模型.以下哪一个协议是用于电子邮件系统的?A. X.25X.75B. X.400X.500答案:Co备注:安全技术ICT信息和通信技术.应用安全(电子邮件)13.“如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响”,这
45、一说法是适合于以下哪一种拓扑结构的网络的?A.星型B.C.D.树型 环型 复合型答案:Ao备注:安全技术ICT信息和通信技术14 .在一个局域网的环境中,其内在的安全威胁包括主动威胁和被动威胁。以下哪一项属于被动威胁?A. 报文服务拒绝假冒B. 数据流分析报文服务更改答案:Co备注:安全技术安全攻防实践. Chinese Wall模型的设计宗旨是:A. 用户只能访问那些与已经拥有的信息不冲突的信息用户可以访问所有信息B. 用户可以访问所有已经选择的信息用户不可以访问那些没有选择的信息答案:Ao备注:(PT)信息安全架构和模型H(BD)安全模型卜(KA)强制访问控制(MAC)模型卜(SA) Ch
46、inese Wall模型,基本概念理解15 . ITSEC中的F1-F5对应TCSEC中哪几个级别?A. D 至ij B2C2 至ij B3B. C1 至I B3C2 至U A1答案:Co备注:(PT)信息安全标准和法律法规卜(BD)信息安全标准H (KA)信息安全技术测评标准, 概念记忆。16 .下面哪一个是国家推荐性标准?A. GB/T 18020-1999应用级防火墙安全技术要求SJ/T 30003-93电子计算机机房施工及验收规范B. GA 243-2000计算机病毒防治产品评级准则ISO/IEC 15408-1999信息技术安全性评估准则答案:Ao备注:(PT)信息安全标准和法律法规
47、卜(BD)信息安全法律法规。17 .密码处理依靠使用密钥,密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密 时使用相同的密钥?A. 对称的公钥算法非对称私钥算法B. 对称密钥算法非对称密钥算法答案:Co备注:(PT)安全技术卜(BD)信息安全机制H (KA)密码技术和应用,基本概念理解。18 .在执行风险分析的时候,预期年度损失(ALE)的计算是:A. 全部损失乘以发生频率全部损失费用+实际替代费用B. 单次预期损失乘以发生频率资产价值乘以发生频率答案:Co备注:(PT)安全管理H(BD)关键安全管理过程H(KA)风险评估,基本概念。19 .作为业务持续性计划的一部分,在进行风险评价的时候的步骤是:1. 考虑可能的威胁建立恢复优先级2. 评价潜在的影响评价紧急性需求A. 1-3-4-21-3-2-4B. 1-2-3-41-4-3-2答案:Ao备注:安全管理业务持续性计划. CC中安全功能/保证要求的三层结构是(按照由大到小的顺序):A. 类、子类、组件组件、子类、元素B. 类、子类、元素子类、组件、元素答案:Ao备注:(PT)信息安全标准和法律法规卜(BD)信息安全标准H(KA)信息安全技术测评标准卜 (SA) CC,概念。21 .有三种基本的鉴别的方式:你知道什么,你有什么,以及:A. 你需要什么你看到什么B. 你