CISM题库题含标准答案.docx
《CISM题库题含标准答案.docx》由会员分享,可在线阅读,更多相关《CISM题库题含标准答案.docx(43页珍藏版)》请在冰点文库上搜索。
CISM题库题含标准答案
CISM题库(题含答案)
————————————————————————————————作者:
————————————————————————————————日期:
认
证
模
拟
试
题
考过的题:
188、192、193、194、195、203、215、216、223、230、238、241
1.信息安全保障要素不包括以下哪一项?
A.技术B.工程C.组织D.管理
2.以下对信息安全问题产生的根源描述最准确的是:
A.信息安全问题是由于信息技术的不断发展造成的
B.信息安全问题是由于黑客组织和犯罪集团追求名和利造成的
C.信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的
D.信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏
3.完整性机制可以防范以下哪种攻击?
A.假冒源地址或用户的地址的欺骗攻击
B.抵赖做过信息的递交行为
C.数据传输中被窃听获取
D.数据传输中被篡改或破坏
4.PPDR模型不包括:
A.策略B.检测C.响应D.加密
5.关于信息安全策略的说法中,下面说法正确的是:
A.信息安全策略的制定是以信息系统的规模为基础
B.信息安全策略的制定是以信息系统的网络拓扑结构为基础
C.信息安全策略是以信息系统风险管理为基础
D.在信息系统尚未建设完成之前,无法确定信息安全策略
6.“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。
其中,“看不懂”是指下面哪种安全服务:
A.数据加密B.身份认证C.数据完整性D.访问控制
7.下面对ISO27001的说法最准确的是:
A.该标准的题目是信息安全管理体系实施指南
B.该标准为度量信息安全管理体系的开发和实施过程提供的一套标准
C.该标准提供了一组信息安全管理相关的控制措施和最佳实践
D.该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型
8.拒绝服务攻击损害了信息系统的哪一项性能?
A.完整性B.可用性C.保密性D.可靠性
9.根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?
A.威胁、脆弱性B.系统价值、风险
C.信息安全、系统服务安全D.受侵害的客体、对客体造成侵害的程度业务
10.IAFE深度防御战略的三个层面不包括:
A.人员B.法律C.技术D.运行
11.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:
A.“普密”、“商密”两个级别B.“低级”和“高级”两个级别
C.“绝密”、“机密”、“秘密”三个级别D.“一密”、“二密”、“三密”、“四密”四个级别
12.触犯新刑法285条规定的非法侵入计算机系统罪可判处
A.三年以下有期徒刑或拘役B.1000元罚款
C.三年以上五年以下有期徒刑D.10000元罚款
13.以下关于我国信息安全政策和法律法规的说法错误的是:
A.中办发【2003】27号文提出“加快信息安全人员培养,增强全民信息安全意识”
B.2008年4月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》C.2007年我国四部委联合发布了《信息安全等级保护管理办法》
D.2006年5月全国人大常委会审议通过了《中国人民共和国信息安全法》
14.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?
A.公安部B.国家保密局
C.信息产业部D.国家密码管理委员会办公室
15.VPN系统主要用来
A.进行用户身份的鉴别B.进行用户行为的审计
C.建立安全的网络通信D.对网络边界进行访问控制
16.VPN技术无法实现以下哪个服务?
A.身份验证B.传输加密C.完整性校验D.可用性校验
17.组成IPSec的主要安全协议不包括以下哪一项?
A.ESPB.DSSC.IKED.AH
18.SSL协议比IPSEC协议的优势在于:
A.实现简单、易于配置B.能有效的工作在网络层
C.能支撑更多的应用层协议D.能实现更高强度的加密
19.下面对于“电子邮件炸弹”的解释最准确的是:
A.邮件正文中包含的恶意网站链接
B.邮件附件中具有破坏性的病毒
C.社会工程的一种方式,具有恐吓内容的邮件
D.在短时间内发送大量邮件的软件,可以造成目标邮箱爆满
20.电子邮件客户端通常需要用协议来发送邮件。
A.仅SMTPB.仅POPC.SMTP和POPD.以上都不正确
21.在应用层协议中,可使用传输层的TCP协议,又可用UDP协议。
A.SNMPB.DNSC.HTTPD.FTP
22.以下哪一项是伪装成有用程序的恶意软件?
A.计算机病毒B.特洛伊木马
C.逻辑炸弹D.蠕虫程序
23.下列哪个是蠕虫的特征?
A.不感染、依附性B.不感染、独立性
C.可感染、依附性D.可感染、独立性
24.杀毒软件报告发现病毒Macor.Melissa,由该病毒名称可以推断出病毒类型是。
A.文件型B.引导型C.目录型D.宏病毒
25.所谓网络内的机器遵循同一“协议”就是指:
A.采用某一套通信规则或标准B.采用同一种操作系统
C.用同一种电缆互连D.用同一种程序设计语言
26.ICMP协议有多重控制报文,当网络出现拥塞时,路由器发出报文。
A.路由重定向B.目标不可达C.源抑制D.子网掩码请求
27.设备可以隔离ARP广播帧
A.路由器B.网桥C.以太网交换机D.集线器
28.下面哪类设备常用于识系统中存在的脆弱性?
A.防火墙B.IDSC.漏洞扫描器D.UTM
29.下列关于防火墙功能的说法最准确的是:
A.访问控制B.内容控制C.数据加密D.查杀病毒
30.某种防火墙的缺点是没有办法从非常细微之处来分析数据包,但它的优点是非常快,这种防火墙是以下的哪一种?
A.电路级网关B.应用级网关
C.会话层防火墙D.包过滤防火墙
31.在包过滤型防火墙中,定义数据包过滤规则的是:
A.路由表B.ARPC.NATD.ACL
32.包过滤型防火墙对数据包的检查内容一般不包括。
A.源地址B.目的地址C.协议D.有效载荷
33.NAT技术不能实现以下哪个功能?
A.对应用层协议进行代理B.隐藏内部地址
C.增加私有组织的地址空间D.解决IP地址不足问题
34.某单位想用防火墙对telnet协议的命令进行限制,应选在什么类型的防火墙?
A.包过滤技术B.应用代理技术C.状态检测技术D.NAT技术
35.以下哪一项不是IDS可以解决的问题?
A.弥补网络协议的弱点B.识别和报告对数据文件的改动
C.统计分析系统中异常活动的模式D.提升系统监控能力
36.从分析式上入侵检测技术可以分为:
A.基于标志检测技术、基于状态检测技术B.基于异常检测技术、基于流量检测技术
C.基于误用检测技术、基于异常检测技术D.基于标志检测技术、基于误用检测技术
37.一台需要与互联网通信的WEB服务器放在以下哪个位置最安全?
A.在DMZ区B.在内网中
C.和防火墙在同一台计算机上D.在互联网防火墙外
38.以下哪个入侵检测技术能检测到未知的攻击行为?
A.基于误用的检测技术B.基于异常的检测技术
C.基于日志分析的技术D.基于漏洞机理研究的技术
39.做渗透测试的第一步是:
A.信息收集B.漏洞分析与目标选定C.拒绝服务攻击D.尝试漏洞利用
40.监听网络流量获取密码,之后使用这个密码试图完成未经授权访问的攻击方式被称为:
A.穷举攻击B.字典攻击C.社会工程攻击D.重放攻击
41.下面哪一项是社会工程?
A.缓冲器溢出B.SQL注入攻击
C.电话联系组织机构的接线员询问用户名和口令D.利用PK/CA构建可信网络
42.“TCPSYNFlooding”建立大量处于半连接状态的TCP连接,其攻击目标是网络的。
A.保密性B.完整性C.真实性D.可用性
43.通过反复尝试向系统提交用户名和密码以发现正确的用户密码的攻击方式称为:
A.账户信息收集B.密码分析C.密码嗅探D.密码暴力破解
44.下列保护系统账户安全的措施中,哪个措施对解决口令暴力破解无帮助?
A.设置系统的账户锁定策略,在用户登录输入错误次数达到一定数量时对账户进行锁定
B.更改系统内宣管理员的用户名
C.给管理员账户一个安全的口令
D.使用屏幕保护并设置返回时需要提供口令
45.关闭系统中不需要的服务主要目的是:
A.避免由于服务自身的不稳定影响系统的安全
B.避免攻击者利用服务实现非法操作从而危害系统安全
C.避免服务由于自动运行消耗大量系统资源从而影响效率D.以上都是
46.某系统被攻击者入侵,初步怀疑为管理员存在弱口令,攻击者从远程终端以管理员身份登录进系统进行了相应的破坏,验证此事应查看:
A.系统日志B.应用程序日志C.安全日志D.IIS日志
47.U盘病毒的传播是借助Windows系统的什么功能实现的?
A.自动播放B.自动补丁更新C.服务自启动D.系统开发漏洞
48.保护数据安全包括保密性、完整性和可用性,对于数据的可用性解决方法最有效的是:
A.加密B.备份C.安全删除D.以上都是
49.在Windows系统中,管理权限最高的组是:
A.everyoneB.administratorsC.powerusersD.users
50.Windows系统下,可通过运行命令打开Windows管理控制台。
A.regeditB.cmdC.mmcD.mfc
51.在Windows文件系统中,支持文件加密。
A.FAT16B.NTFSC.FAT32D.EXT3
52.在window系统中用于显示本机各网络端口详细情况的命令是:
A.netshowB.netstatC.ipconfigD.netview
53.视窗操作系统(Windows)从哪个版本开始引入安全中心的概念?
A.WinNTSP6B.Win2000SP4C.WinXPSP2D.Win2003SP1
54.在WindowsXP中用事件查看器查看日志文件,可看到的日志包括?
A.用户访问日志、安全性日志、系统日志和IE日志
B.应用程序日志、安全性日志、系统日志和IE日志
C.网络攻击日志、安全性日志、记账日志和IE日志
D.网络链接日志、安全性日志、服务日志和IE日志
55.关于数据库注入攻击的说法错误的是:
A.它的主要原因是程序对用户的输入缺乏过滤
B.一般情况下防火培对它无法防范
C.对它进行防范时要关注操作系统的版本和安全补丁
D.注入成功后可以获取部分权限
56.专门负责数据库管理和维护的计算机软件系统称为:
A.SQL-MS
B.INFERENCECONTROL
C.DBMS
D.TRIGGER-MS
57.下列哪一项与数据库的安全直接相关?
A.访问控制的粒度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量
58.信息安全风险的三要素是指:
A.资产/威胁/脆弱性B.资产/使命/威胁C.使命/威胁/脆弱性D.威胁/脆弱性/使命
59.以下哪一项是已经被确认了的具有一定合理性的风险?
A.总风险B.最小化风险C.可接受风险D.残余风险
60.统计数据指出,对大多数计算机系统来说,最大的威胁是:
A.本单位的雇员B.黑客和商业间谍C.未受培训的系统用户D.技术产品和服务供应商
61.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?
A.部门经理B.高级管理层C.信息资产所有者D.最终用户
62.风险评估方法的选定在PDCA循环中的哪个阶段完成?
A.实施和运行B.保持和改进C.建立D.监视和评审
63.下列安全协议中,可用于安全电子邮件加密。
A.PGPB.SETC.SSLD.TLS
64.HTTPS采用协议实现安全网站访问。
A.SSLB.IPSecC.PGPD.SET
65.信息安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度,信息系统安全保护等级分为:
A.3级B.4级C.5级D.6级
66.以下关于"最小特权"安全管理原则理解正确的是:
A.组机构内的敏感岗位不能由一个人长期负责
B.对重要的工作进行分解,分配给不同人员完成
C.一个人有且仅有其执行岗位所足够的许可和权限
D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
67.是目前国际通行的信息技术产品安全性评估标准?
A.TCSECB.ITSECC.CCD.IATF
68.下面哪个不是ISO27000系列包含的标准?
A.《信息安全管理体系要求》B.《信息安全风险管理》
C.《信息安全度量》D.《信息安全评估规范》
69.信息安全管理的根本方法是:
A.风险处置B.应急响应C.风险管理D.风险评估
70.以下对信息安全管理体系说法不正确的是:
A.基于国际标准ISO/IEC27000
B.它是综合信息安全管理和技术手段,保障组织信息安全的一种方法
C.它是管理体系家族的一个成员
D.基于国际标准ISO/IEC27001
71.以下对PDCA循环解释不正确的是:
A.P(Process):
处理
B.D(Do):
实施
C.C(Check):
检查
D.A(Action):
行动
72.以下对PDCA循环特点描述不正确的是.
A.按顺序进行,周而复始,不断循环
B.组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
C.每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
D.可以由任何一个阶段开始,周而复始,不断循环
73.风险是需要保护的()发生损失的可能性,它是()和()综合结果。
A.资产,攻击目标,威胁事件B.设备,威胁,漏洞
C.资产,威胁,漏洞D.以上都不对
74.风险管理中使用的控制措施,不包括以下哪种类型?
A.防性控制措施B.管理性控制措施C.检查性控制措施D.纠正性控制措施
75.风险管理中的控制措施不包括以下哪一方面?
A.行政B.道德C.技术D.管理
76.风险评估不包括以下哪个活动?
A.中断引入风险的活动
B.识别资产
C.识别威胁
D.分析风险
77,在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:
A.资产及其价值、威胁、脆弱性、现有的和计划的控制措施
B.资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施
C.完整性、可用性、机密性、不可抵赖性
D.减低风险、转嫁风险、规避风险、接受风险
78.以下哪一项不是信息安全风险分析过程中所要完成的工作:
A.识别用户B.识别脆弱性C.评估资产价值D.计算安全事件发生的可能性
79.机构应该把信息系统安全看作:
A.业务中心B.风险中心C.业务促进因素D.业务抑制因素
80.应对信息安全风险的主要目标是什么?
A.消除可能会影响公司的每一种威胁
B.管理风险,以使由风险产生的问题降至最低限度
C.尽量多实施安全措施以消除资产暴露在其下的每一种风险
D.尽量忽略风险,不使成本过高
81.以下关于ISO/lEC27001所应用的过程方法主要特点说法错误的是:
A.理解组织的信息安全要求和建立信息安全方针与目标的需要
B.从组织整体业务风险的角度管理组织的信息安全风险
C.监视和评审ISMS的执行情况和有效性
D.基于主观测量的持续改进
82.在检查岗位职责时什么是最重要的评估标准?
A.工作职能中所有要傲的工作和需要的培训都有详细的定义
B.职责清晰,每个人都清楚自己在组织中的角色
C.强制休假和岗位轮换被执行
D.绩效得到监控和提升是基于清晰定义的目标
83.在信息安全管理中进行,可以有效解决人员安全意识薄弱问题。
A.内容监控B.安全教育和培训(贯穿)C.责任追查和惩处D.访问控制
84.以下哪一项最能体现27002管理控制措施中预防控制措施的目的?
A.减少威胁的可能性B.保护企业的弱点区域
C.减少灾难发生的可能性D.防御风险的发生并降低其影响
85.关于外包的论述不正确的是:
A.企业经营管理中的诸多操作或服务都可以外包
B.通过业务外包,企业也把相应的风险承担者转移给了外包商,企业从此不必对外包业务负任何直接或间接的责任
C.虽然业务可以外包,但是对于外包业务的可能的不良后果,企业仍然承担责任
D.过多的外包业务可能产生额外的操作风险或其他隐患
86.信息化建设和信息安全建设的关系应当是:
A.信息化建设的结束就是信息安全建设的开始
B.信息化建设和信息安全建设应同步规划、同步实施
C.信息化建设和信息安全建设是交替进行的,无法区分谁先谁后
D.以上说法都正确
87.关于SSE-CMM的描述错误的是:
A.1993年4月美国国家安全局资助,有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成
SSE-CMM项目组
B.SSE-CMM的能力级别分为6个级别
C.SSE-CMM将安全工程过程划分为三类:
风险、工程和保证
D.SSE的最高能力级别是量化控制
88.以下对SSE-CMM描述正确的是:
A.它是指信息安全工程能力成熟模型B.它是指系统安全工程能力成熟模型
C.它是指系统安全技术能力成熟模型D.它是指信息安全技术能力成熟模型
89.根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中确立安全解决方案的置信度并且把这样的置信度传递给顾客。
A.保证过程B.风险过程C.工程和保证过程D.安全工程过程
90.下面对于SSE-CMM保证过程的说法错误的是:
A.保证是指安全需求得到满足的可信任程度
B.信任程度来自于对安全工程过程结果质量的判断
C.自验证与证实安全的主要手段包括观察、论证、分析和测试
D.PA“建立保证论据”为PA“验证与证实安全”提供了证据支持
91.下面哪一项为系统安全工程能力成熟度模型提供评估方法:
A.ISSEB.SSAMC.SSRD.CEM
92.在SSE-CMM中对工程过程能力的评价分为三个层次,由宏观到微观依次是:
A.能力级别-公共特征(CF)-通用实践(GP)B.能力级别-通用实践-(GP)-公共特征(CF)
C.通用实践-(GP)-能力级别-公共特征(CF)D.公共特征(CF)-能力级别-通用实践-(CP)
93.一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规
范的定义?
A.2级——计划和跟踪B.3级——充分定义
C.4级——量化控制D.5级——持续改进
94.根据SSE-CMM,安全工程过程能力由低到高划分为:
A.未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别
B.基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别
C.基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别
D.未实施、基本实施、计划跟踪、充分定义4个级别
95.下列哪项不是SSE-CMM模型中工程过程的过程区域?
A.明确安全需求B.评估影响C.提供安全输入D.协调安全
96.SSE-CMM工程过程区域中的风险过程包含哪些过程区域:
A.评估威胁、评估脆弱性、评估影响
B.评估威胁、评估脆弱性、评估安全风险
C.评估威胁、评估脆弱性、评估影响、评估安全风险
D.评估威胁、评估脆弱性、评估影响、验证和证实安全
97.系统安全工程不包含以下哪个过程类:
A.工程过程类B.组织过程类C.管理过程类D.项目过程类
98.ISSE(信息系统安全工程)是美国发布的IATF3.0版本中提出的设计和实施信息系统。
A.安全工程方法B.安全工程框架C.安全工程体系结构D.安全工程标准
99.IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源,同时安全风险也越来越多地体现在应用层,因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑,以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素:
A.操作系统的安全加固B.输入数据的校验
C.数据处理过程控制D.输出数据的验证
100.触犯新刑法285条规定的非法入侵计算机系统罪可判处。
A.假冒源地址或用户的地址的欺骗攻击B.抵赖做过信息的递交行为
C.数据传输中被窃听获取D.数据传输中被篡改或破坏
101.以下关于信息安全保障说法中哪一项不正确?
A.信息安全保障是为了支撑业务高效稳定的运行B.以安全促发展,在发展中求安全
C.信息安全保障不是持续性开展的活动D.信息安全保障的实现,需要将信息安全技术与管理相结合
102.信息安全保障是一种立体保障,在运行时的安全工作不包括:
A.安全评估B.产品选购C.备份与灾难恢复D.监控
103.以下对信息安全风险管理理解最准确的说法是:
A.了解风险B.转移风险C.了解风险并控制风险D.了解风险并转移风险
104.以下关于ISO/IEC27001标准说法不正确的是:
A.本标准可被内部和外部相关方用于一致性评估,审核的重点就是组织信息安全的现状,对部署的信息安全控制是好的还是坏的做出评判。
B.本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。
C.目前国际标准化组织推出的四个管理体系标准:
质量管理体系、职业健康安全管理体系、环境管理体系、信息安全管理体系、都采用了相同的方法,即PDCA模型。
D.本标准注重监视和评审,因为监视和评审时持续改进的基础。
如果缺乏对执行情况和有效性的测量,改进就成了“无的放矢”。
105.下列哪些描述同SSL相关?
A.公钥使用户可以交换会话密钥、解密会话密钥并验证数字签名的真实性
B.公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密数据
C.私钥使用户可以创建数字签名、验证数字签名的真实性并交换会话密钥
D.私钥使用户可以创建数字签名、加密数据和解密会话密钥
106.Windows操作系统的注册表运行命令
升级会员 