CISM题库250题含答案.docx

1、CISM题库250题含答案认证模拟试题考过的题：188192193194195203215216223230238、2411信息安全保障要素不包括以下哪一项？A技术 B工程 C组织 D管理2以下对信息安全问题产生的根源描述最准确的是： A信息安全问题是由于信息技术的不断开展造成的 B信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 D信息安全问题产生的因是信息系统的复杂性，外因是对手的威胁与破坏3完整性机制可以防以下哪种攻击？ A假冒源地址或用户的地址的欺骗攻击 B抵赖做过信息的递交行为C数据传输中被窃听获取D数据传输中被篡改或破坏

2、4PPDR模型不包括：A策略 B检测 C响应 D加密5关于信息安全策略的说法中，下面说确的是：A信息安全策略的制定是以信息系统的规模为根底B信息安全策略的制定是以信息系统的网络拓扑结构为根底 C信息安全策略是以信息系统风险管理为根底D在信息系统尚未建设完成之前，无法确定信息安全策略6“进不来“拿不走“看不懂“改不了“走不脱是网络信息安全建设的目的。其中，“看不懂是 指下面哪种安全服务：A数据加密 B身份认证 C数据完整性 D访问控制7下面对 ISO27001的说法最准确的是：A该标准的题目是信息安全管理体系实施指南 B该标准为度量信息安全管理体系的开发和实施过程提供的一套标准C该标准提供了一组

3、信息安全管理相关的控制措施和最正确实践D该标准为建立、实施、运行、监控、审核、维护和改良信息安全管理体系提供了一个模型8拒绝服务攻击损害了信息系统的哪一项性能？A完整性 B可用性 C性 D可靠性9根据信息系统安全等级保护定级指南，信息系统的安全保护等级由哪两个定级要素决定？A威胁、脆弱性 B系统价值、风险 C信息安全、系统服务安全 D受侵害的客体、对客体造成侵害的程度业务10IAFE深度防御战略的三个层面不包括：A人员 B法律 C技术 D运行11“中华人民国保守国家秘密法第二章规定了国家秘密的围和密级，国家秘密的密级分为：A“普密、“商密两个级别 B“低级和“高级两个级别 C“绝密、“、“秘密

4、三个级别 D“一密、“二密、“三密、“四密四个级别12触犯新刑法 285条规定的非法侵入计算机系统罪可判处A三年以下有期徒刑或拘役 B1000元罚款C三年以上五年以下有期徒刑 D10000元罚款13以下关于我国信息安全政策和法律法规的说法错误的选项是：A中办发【2003】27号文提出“加快信息安全人员培养，增强全民信息安全意识 B2008年 4月国务院办公厅发布了关于加强政府信息系统安全和管理工作的通知C2007年我国四部委联合发布了信息安全等级保护管理方法D2006年 5月全国人大常委会审议通过了中国人民国信息安全法14目前，我国信息安全管理格局是一个多方“齐抓共管的体制，多头管理现状决定法

5、出多门，计算 机信息系统国际联网管理规定是由以下哪个部门所制定的规章制度？A公安部 B国家局C信息产业部 D国家密码管理委员会办公室15VPN系统主要用来A进展用户身份的鉴别 B进展用户行为的审计 C建立安全的网络通信 D对网络边界进展访问控制16VPN技术无法实现以下哪个服务？A身份验证 B传输加密 C完整性校验 D可用性校验17组成 IPSec的主要安全协议不包括以下哪一项？AESP BDSS CIKE DAH18SSL协议比 IPSEC协议的优势在于：A实现简单、易于配置 B能有效的工作在网络层 C能支撑更多的应用层协议 D能实现更高强度的加密19下面对于“电子炸弹的解释最准确的是：A正

6、文中包含的恶意B附件中具有破坏性的病毒C社会工程的一种方式，具有恐吓容的D在短时间发送大量的软件，可以造成目标爆满20电子客户端通常需要用协议来发送。A仅 SMTP B仅 POP CSMTP和 POP D以上都不正确21在应用层协议中，可使用传输层的 TCP协议，又可用 UDP协议。ASNMP BDNSC DFTP22以下哪一项为哪一项伪装成有用程序的恶意软件？A计算机病毒B特洛伊木马C逻辑炸弹 D蠕虫程序23以下哪个是蠕虫的特征？A不感染、依附性 B不感染、独立性C可感染、依附性 D可感染、独立性24杀毒软件报告发现病毒 MacorMelissa，由该病毒名称可以推断出病毒类型是。A文件型

7、B引导型 C目录型 D宏病毒25所谓网络的机器遵循同一“协议就是指： A采用某一套通信规那么或标准 B采用同一种操作系统C用同一种电缆互连 D用同一种程序设计语言26ICMP协议有多重控制报文，当网络出现拥塞时，路由器发出报文。A路由重定向 B目标不可达C源抑制 D子网掩码请求27设备可以隔离ARP广播帧A路由器 B网桥 C以太网交换机 D集线器28下面哪类设备常用于识系统中存在的脆弱性？A防火墙 BIDS C漏洞扫描器 DUTM29以下关于防火墙功能的说法最准确的是：A访问控制 B容控制 C数据加密 D查杀病毒30某种防火墙的缺点是没有方法从非常细微之处来分析数据包，但它的优点是非常快，这种

8、防火墙是以下的哪一种？ A电路级网关 B应用级网关 C会话层防火墙 D包过滤防火墙31在包过滤型防火墙中，定义数据包过滤规那么的是：A路由表 BARP CNAT DACL32包过滤型防火墙对数据包的检查容一般不包括。A源地址 B目的地址 C协议 D有效载荷33NAT技术不能实现以下哪个功能？ A对应用层协议进展代理 B隐藏部地址 C增加私有组织的地址空间 D解决 IP地址不足问题34某单位想用防火墙对telnet协议的命令进展限制，应选在什么类型的防火墙？A包过滤技术 B应用代理技术C状态检测技术 DNAT技术35以下哪一项不是 IDS可以解决的问题？ A弥补网络协议的弱点 B识别和报告对数据

9、文件的改动 C统计分析系统中异常活动的模式 D提升系统监控能力36从分析式上入侵检测技术可以分为： A基于标志检测技术、基于状态检测技术 B基于异常检测技术、基于流量检测技术 C基于误用检测技术、基于异常检测技术 D基于标志检测技术、基于误用检测技术37一台需要与互联网通信的 WEB服务器放在以下哪个位置最安全？A在 DMZ区 B在网中C和防火墙在同一台计算机上 D在互联网防火墙外38以下哪个入侵检测技术能检测到未知的攻击行为？A基于误用的检测技术 B基于异常的检测技术C基于日志分析的技术 D基于漏洞机理研究的技术39做渗透测试的第一步是： A信息收集 B漏洞分析与目标选定 C拒绝服务攻击 D

10、尝试漏洞利用40监听网络流量获取密码，之后使用这个密码试图完成未经授权访问的攻击方式被称为：A穷举攻击 B字典攻击 C社会工程攻击 D重放攻击41下面哪一项为哪一项社会工程？A缓冲器溢出 BSQL注入攻击 C联系组织机构的接线员询问用户名和口令 D利用 PK/CA构建可信网络42“TCPSYNFlooding建立大量处于半连接状态的 TCP连接，其攻击目标是网络的。A性 B完整性 C真实性 D可用性43通过反复尝试向系统提交用户名和密码以发现正确的用户密码的攻击方式称为：A账户信息收集 B密码分析 C密码嗅探 D密码暴力破解44以下保护系统账户安全的措施中，哪个措施对解决口令暴力破解无帮助?A

11、设置系统的账户锁定策略，在用户登录输入错误次数达到一定数量时对账户进展锁定B更改系统宣管理员的用户名 C给管理员账户一个安全的口令 D使用屏幕保护并设置返回时需要提供口令45关闭系统中不需要的服务主要目的是: A防止由于服务自身的不稳定影响系统的安全 B防止攻击者利用服务实现非法操作从而危害系统安全C防止服务由于自动运行消耗大量系统资源从而影响效率 D以上都是46某系统被攻击者入侵，初步怀疑为管理员存在弱口令，攻击者从远程终端以管理员身 份登录进系统进展了相应的破坏，验证此事应查看：A系统日志 B应用程序日志 C安全日志 DIIS日志47U盘病毒的传播是借助Windows系统的什么功能实现的？

12、A自动播放 B自动补丁更新 C服务自启动 D系统开发漏洞48保护数据安全包括性、完整性和可用性，对于数据的可用性解决方法最有效的是：A加密 B备份C安全删除 D以上都是49在 Windows系统中，管理权限最高的组是: AeveryoneBadministratorsCpowerusers Dusers50Windows系统下，可通过运行命令打开Windows管理控制台。Aregedit Bcmd Cmmc Dmfc51在 Windows文件系统中，支持文件加密。AFAT16BNTFSCFAT32 DEXT352在 window系统中用于显示本机各网络端口详细情况的命令是:AnetshowBn

13、etstatCipconfig Dnetview53视窗操作系统(Windows)从哪个版本开始引入安全中心的概念?AWinNTSP6 BWin2000SP4 CWinXPSP2DWin2003SP154在 WindowsXP中用事件查看器查看日志文件，可看到的日志包括？ A用户访问日志、安全性日志、系统日志和 IE日志 B应用程序日志、安全性日志、系统日志和 IE日志C网络攻击日志、安全性日志、记账日志和 IE日志 D网络日志、安全性日志、服务日志和 IE日志55关于数据库注入攻击的说法错误的选项是： A它的主要原因是程序对用户的输入缺乏过滤 B一般情况下防火培对它无法防 C对它进展防时要关

14、注操作系统的版本和安全补丁D注入成功后可以获取局部权限56专门负责数据库管理和维护的计算机软件系统称为: ASQL-MSBINFERENCECONTROL CDBMSDTRIGGER-MS57以下哪一项与数据库的安全直接相关？A访问控制的粒度 B数据库的大小 C关系表中属性的数量 D关系表中元组的数量58信息安全风险的三要素是指:A资产/威胁/脆弱性 B资产/使命/威胁 C使命/威胁/脆弱性 D威胁/脆弱性/使命59以下哪一项为哪一项已经被确认了的具有一定合理性的风险? A总风险 B最小化风险 C可承受风险 D剩余风险60统计数据指出，对大多数计算机系统来说，最大的威胁是: A本单位的雇员 B

15、黑客和商业间谍 C未受培训的系统用户 D技术产品和服务供给商61某公司正在进展信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？A部门经理 B高级管理层 C信息资产所有者 D最终用户62风险评估方法的选定在 PDCA循环中的哪个阶段完成？A实施和运行 B保持和改良C建立 D监视和评审63以下安全协议中，可用于安全电子加密。APGP BSET CSSL DTLS64S采用协议实现安全访问。ASSL BIPSec CPGP DSET65信息安全等级保护制度是国家保障和促进信息化建设健康开展的一项根本制度，信息系统安全保护等级分为： A3级 B4级 C5级 D6级66以下关于最小特权安

16、全管理原那么理解正确的选项是： A组机构的敏感岗位不能由一个人长期负责 B对重要的工作进展分解，分配给不同人员完成 C一个人有且仅有其执行岗位所足够的许可和权限D防止员工由一个岗位变动到另一个岗位，累积越来越多的权限67是目前国际通行的信息技术产品安全性评估标准？ATCSEC BITSEC CCC DIATF68下面哪个不是 ISO27000系列包含的标准? A信息安全管理体系要求 B信息安全风险管理C信息安全度量 D信息安全评估规69信息安全管理的根本方法是:A风险处置 B应急响应 C风险管理 D风险评估70以下对信息安全管理体系说法不正确的选项是：A基于国际标准 ISO/IEC27000B

17、它是综合信息安全管理和技术手段，保障组织信息安全的一种方法C它是管理体系家族的一个成员D基于国际标准 ISO/IEC2700171以下对 PDCA循环解释不正确的选项是:APProcess：处理BDDo：实施CCCheck：检查DAAction：行动72以下对 PDCA循环特点描述不正确的选项是A按顺序进展，周而复始，不断循环B组织中的每个局部，甚至个人，均可以 PDCA循环，大环套小环，一层一层地解决问题C每通过一次PDCA循环，都要进展总结，提出新目标，再进展第二次PDCA循环D可以由任何一个阶段开始，周而复始，不断循环73风险是需要保护的发生损失的可能性，它是和综合结果。A资产，攻击目标

18、，威胁事件 B设备，威胁，漏洞C资产，威胁，漏洞 D以上都不对74风险管理中使用的控制措施，不包括以下哪种类型?A防性控制措施B管理性控制措施 C检查性控制措施 D纠正性控制措施75风险管理中的控制措施不包括以下哪一方面?A行政B道德 C技术 D管理76风险评估不包括以下哪个活动? A中断引入风险的活动B识别资产C识别威胁D分析风险77，在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括: A资产与其价值、威胁、脆弱性、现有的和计划的控制措施B资产与其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C完整性、可用性、性、不可抵赖性D减低风险、转嫁风险、躲避风险、承受风险78以下哪一项

19、不是信息安全风险分析过程中所要完成的工作：A识别用户 B识别脆弱性 C评估资产价值 D计算安全事件发生的可能性79机构应该把信息系统安全看作：A业务中心 B风险中心 C业务促进因素 D业务抑制因素80应对信息安全风险的主要目标是什么? A消除可能会影响公司的每一种威胁B管理风险，以使由风险产生的问题降至最低限度C尽量多实施安全措施以消除资产暴露在其下的每一种风险D尽量忽略风险，不使本钱过高81以下关于 ISO/lEC27001所应用的过程方法主要特点说法错误的选项是：A理解组织的信息安全要求和建立信息安全方针与目标的需要B从组织整体业务风险的角度管理组织的信息安全风险C监视和评审 ISMS的执

20、行情况和有效性D基于主观测量的持续改良82在检查岗位职责时什么是最重要的评估标准？A工作职能中所有要傲的工作和需要的培训都有详细的定义B职责清晰，每个人都清楚自己在组织中的角色C强制休假和岗位轮换被执行 D绩效得到监控和提升是基于清晰定义的目标83在信息安全管理中进展，可以有效解决人员安全意识薄弱问题。A容监控 B安全教育和培训贯穿 C责任追查和惩处 D访问控制84以下哪一项最能表达27002管理控制措施中预防控制措施的目的？A减少威胁的可能性 B保护企业的弱点区域C减少灾难发生的可能性 D防御风险的发生并降低其影响85关于外包的论述不正确的选项是:A企业经营管理中的诸多操作或服务都可以外包B

21、通过业务外包，企业也把相应的风险承当者转移给了外包商，企业从此不必对外包业务负任何直接或 间接的责任C虽然业务可以外包，但是对于外包业务的可能的不良后果，企业仍然承当责任D过多的外包业务可能产生额外的操作风险或其他隐患86信息化建设和信息安全建设的关系应当是:A信息化建设的完毕就是信息安全建设的开始B信息化建设和信息安全建设应同步规划、同步实施C信息化建设和信息安全建设是交替进展的，无法区分谁先谁后D以上说法都正确87关于 SSE-CMM的描述错误的选项是：A1993年4月美国国家安全局资助，有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组BSSE-CMM的能力级

22、别分为 6个级别CSSE-CMM将安全工程过程划分为三类:风险、工程和保证DSSE的最高能力级别是量化控制88以下对 SSE-CMM描述正确的选项是:A它是指信息安全工程能力成熟模型 B它是指系统安全工程能力成熟模型C它是指系统安全技术能力成熟模型 D它是指信息安全技术能力成熟模型89根据 SSE-CMM信息安全工程过程可以划分为三个阶段，其中确立安全解决方案的置信度并且 把这样的置信度传递给顾客。A保证过程 B风险过程 C工程和保证过程 D安全工程过程90下面对于 SSE-CMM保证过程的说法错误的选项是:A保证是指安全需求得到满足的可信任程度B信任程度来自于对安全工程过程结果质量的判断C自

23、验证与证实安全的主要手段包括观察、论证、分析和测试DPA“建立保证论据为PA“验证与证实安全提供了证据支持91下面哪一项为系统安全工程能力成熟度模型提供评估方法:AISSEBSSAM CSSR DCEM92在 SSE-CMM中对工程过程能力的评价分为三个层次，由宏观到微观依次是:A能力级别-公共特征(CF)-通用实践(GP) B能力级别-通用实践-(GP)-公共特征(CF)C通用实践-(GP)-能力级别-公共特征(CF) D公共特征(CF)-能力级别-通用实践-(CP)93一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进展规的定义?A2级计划和跟踪 B3级充分定义C4级量

24、化控制 D5级持续改良94根据 SSE-CMM，安全工程过程能力由低到高划分为:A未实施、根本实施、计划跟踪、充分定义、量化控制和持续改良等 6个级别B根本实施、计划跟踪、充分定义、量化控制和持续改良等 5个级别C根本实施、计划跟踪、量化控制、充分定义和持续改良等 5个级别D未实施、根本实施、计划跟踪、充分定义 4个级别95以下哪项不是 SSE-CMM模型中工程过程的过程区域？A明确安全需求 B评估影响 C提供安全输入 D协调安全96SSE-CMM工程过程区域中的风险过程包含哪些过程区域:A评估威胁、评估脆弱性、评估影响B评估威胁、评估脆弱性、评估安全风险C评估威胁、评估脆弱性、评估影响、评估

25、安全风险D评估威胁、评估脆弱性、评估影响、验证和证实安全97系统安全工程不包含以下哪个过程类:A工程过程类 B组织过程类 C管理过程类 D项目过程类98ISSE(信息系统安全工程)是美国发布的 IATF30版本中提出的设计和实施信息系统。A安全工程方法 B安全工程框架 C安全工程体系结构 D安全工程标准99IT工程建设与 IT安全工程建设脱节是众多安全风险涌现的根源，同时安全风险也越来越多地表达在应 用层，因此迫切需要加强对开发阶段的安全考虑，特别是要加强对数据安全性的考虑，以下哪项工作是在 IT项目的开发阶段不需要重点考虑的安全因素：A操作系统的安全加固 B输入数据的校验C数据处理过程控制

26、D输出数据的验证100触犯新刑法 285条规定的非法入侵计算机系统罪可判处。A假冒源地址或用户的地址的欺骗攻击 B抵赖做过信息的递交行为C数据传输中被窃听获取 D数据传输中被篡改或破坏101以下关于信息安全保障说法中哪一项不正确？A信息安全保障是为了支撑业务高效稳定的运行 B以安全促开展，在开展中求安全C信息安全保障不是持续性开展的活动 D信息安全保障的实现，需要将信息安全技术与管理相结合102信息安全保障是一种立体保障，在运行时的安全工作不包括：A安全评估 B产品选购 C备份与灾难恢复 D监控103以下对信息安全风险管理理解最准确的说法是：A了解风险 B转移风险 C了解风险并控制风险 D了解

27、风险并转移风险104以下关于 ISO/IEC27001标准说法不正确的选项是：A本标准可被部和外部相关方用于一致性评估，审核的重点就是组织信息安全的现状，对部署的信息 安全控制是好的还是坏的做出评判。B本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改良一个组织的 ISMS。C目前国际标准化组织推出的四个管理体系标准：质量管理体系、职业健康安全管理体系、环境管理体 系、信息安全管理体系、都采用了一样的方法，即 PDCA模型。D本标准注重监视和评审，因为监视和评审时持续改良的根底。如果缺乏对执行情况和有效性的测量， 改良就成了“无的放矢。105以下哪些描述同 SSL相关？A公钥使用户

28、可以交换会话密钥、解密会话密钥并验证数字签名的真实性B公钥使用户可以交换会话密钥、验证数字签名的真实性以与加密数据C私钥使用户可以创建数字签名、验证数字签名的真实性并交换会话密钥D私钥使用户可以创建数字签名、加密数据和解密会话密钥106Windows操作系统的注册表运行命令是：ARegsvr32BRegedit CRegeditmsc DRegeditmmc107在 linux系统中拥有最高级别权限的用户是：Aroot Badministrator Cmail Dnobody108以下哪个是蠕虫的特性？A不感染、依附性 B不感染、独立性 C可感染、依附性 D可感染、独立性109以下哪种恶意代码不具备“不感染、依附性的特点？A后门 B陷门 C木马 D蠕虫110路由器在两个网段之间转发数据包时，读取其中的地址来确定下一跳的转发路径。AIP BMAC C源 DARP111