CISP相关试题与答案集.docx
《CISP相关试题与答案集.docx》由会员分享,可在线阅读,更多相关《CISP相关试题与答案集.docx(52页珍藏版)》请在冰点文库上搜索。
CISP相关试题与答案集
1.人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是出于:
A
A.为了更好的完成组织机构的使命
B.针对信息系统的攻击方式发生重大变化
C.风险控制技术得到革命性的发展
D.除了保密性,信息的完整性和可用性也引起了人们的关注
2.《GB/T20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指:
C
A.对抗级
B.防护级
C.能力级
D.监管级
3.下面对信息安全特征和范畴的说法错误的是:
C
A.信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素
B.信息安全是一个动态的问题,他随着信息技术的发展普及,以及产业基础,用户认识、投入产出而发展
C.信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的
D.信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点
4.美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术系统分为:
B
A.内网和外网两个部分
B.本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分
C.用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分
D.信用户终端、服务器、系统软件、网络设备和通信线路、应用软件,安全防护措施六个部分
5.关于信息安全策略的说法中,下面说法正确的是:
C
A.信息安全策略的制定是以信息系统的规模为基础
B.信息安全策略的制定是以信息系统的网络?
?
?
C.信息安全策略是以信息系统风险管理为基础
D.在信息系统尚未建设完成之前,无法确定信息安全策略
6.下列对于信息安全保障深度防御模型的说法错误的是:
C
A.信息安全外部环境:
信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
B.信息安全管理和工程:
信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。
C.信息安全人才体系:
在组织机构中应建立完善的安全意识,培训体系无关紧要
D.信息安全技术方案:
“从外而内、自下而上、形成端到端的防护能力”
7.全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。
“加快信息安全人才培训,增强全民信息安全意识”的指导精神,是以下哪一个国家政策文件提出的?
A
A.《国家信息化领导小组关于加强信息安全保障工作的意见》
B.《信息安全等级保护管理办法》
C.《中华人民共和国计算机信息系统安全保护条例》
D.《关于加强政府信息系统安全和保密管理工作的通知》
8.一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案?
A
A.公安部公共信息网络安全监察局及其各地相应部门
B.国家计算机网络与信息安全管理中心
C.互联网安全协会
D.信息安全产业商会
9.下列哪个不是《商用密码管理条例》规定的内容:
D
A.国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作
B.商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理
C.商用密码产品由国家密码管理机构许可的单位销售
D.个人可以使用经国家密码管理机构认可之外的商用密码产品
10.对涉密系统进行安全保密测评应当依据以下哪个标准?
B
A.BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》
B.BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》
C.GB17859-1999《计算机信息系统安全保护等级划分准则》
D.GB/T20271-2006《信息安全技术信息系统统用安全技术要求》
11.下面对于CC的“保护轮廓”(PP)的说法最准确的是:
C
A.对系统防护强度的描述
B.对评估对象系统进行规范化的描述
C.对一类TOE的安全需求,进行与技术实现无关的描述
D.由一系列保证组件构成的包,可以代表预先定义的保证尺度
12.关于ISO/IEC21827:
2002(SSE-CMM)描述不正确的是:
D
A.SSE-CMM是关于信息安全建设工程实施方面的标准
B.SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程
C.SSE-CMM模型定义了一个安全工程应有的特征,这些特征是完善的安全工程的根本保证
D.SSE-CMM是用于对信息系统的安全等级进行评估的标准
13.下面哪个不是ISO27000系列包含的标准D
A.《信息安全管理体系要求》
B.《信息安全风险管理》
C.《信息安全度量》
D.《信息安全评估规范》
14.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特征?
A
A.ITSEC
B.TCSEC
C.GB/T9387.2
D.彩虹系列的橙皮书
15.下面哪项不是《信息安全等级保护管理办法》(公通字【2007】43号)规定的内容D
A.国家信息安全等级保护坚持自主定级、自主保护的原则
B.国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查
C.跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级
D.第二级信息系统应当每年至少进行一次等级测评,第三级信息系统应当每?
?
?
少进行一次等级测评
16.触犯新刑法285条规定的非法侵入计算机系统罪可判处___A__。
A.三年以下有期徒刑或拘役
B.1000元罚款
C.三年以上五年以下有期徒刑
D.10000元罚款
17.常见密码系统包含的元素是:
C
A.明文,密文,信道,加密算法,解密算法
B.明文,摘要,信道,加密算法,解密算法
C.明文,密文,密钥,加密算法,解密算法
D.消息,密文,信道,加密算法,解密算法
18.公钥密码算法和对称密码算法相比,在应用上的优势是:
D
A.密钥长度更长
B.加密速度更快
C.安全性更高
D.密钥管理更方便
19.以下哪一个密码学手段不需要共享密钥?
B
A.消息认证
B.消息摘要
C.加密解密
D.数字签名
20.下列哪种算法通常不被用户保证保密性?
D
A.AES
B.RC4
C.RSA
D.MD5
21.数字签名应具有的性质不包括:
C
A.能够验证签名者
B.能够认证被签名消息
C.能够保护被签名的数据机密性
D.签名必须能够由第三方验证
22.认证中心(CA)的核心职责是__A___。
A.签发和管理数字证书
B.验证信息
C.公布黑名单
D.撤销用户的证书
23.以下对于安全套接层(SSL)的说法正确的是:
C
A.主要是使用对称密钥体制和X.509数字证书技术保护信息传输的机密性和完整性
B.可以在网络层建立VPN
C.主要使用于点对点之间的信息传输,常用Webserver方式
D.包含三个主要协议:
AH,ESP,IKE
24.下面对访问控制技术描述最准确的是:
C
A.保证系统资源的可靠性
B.实现系统资源的可追查性
C.防止对系统资源的非授权访问
D.保证系统资源的可信性
25.以下关于访问控制表和访问能力表的说法正确的是:
D
A.访问能力表表示每个客体可以被访问的主体及其权限
B.访问控制表说明了每个主体可以访问的客体及权限
C.访问控制表一般随主体一起保存
D.访问能力表更容易实现访问权限的传递,但回收访问权限较困难
26.下面哪一项访问控制模型使用安全标签(securitylabels)C
A.自主访问控制
B.非自主访问控制
C.强制访问控制
D.基于角色的访问控制
27.某个客户的网络限制可以正常访问internet互联网,共有200台终端PC但此客户从ISP(互联网络服务提供商)里只获得了16个公有的IPv4地址,最多也只有16台PC可以访问互联网,要想让全部200台终端PC访问internet互联网最好采取什么办法或技术:
B
A.花更多的钱向ISP申请更多的IP地址
B.在网络的出口路由器上做源NAT
C.在网络的出口路由器上做目的NAT
D.在网络出口处增加一定数量的路由器
28.WAPI采用的是什么加密算法?
A
A.我国自主研发的公开密钥体制的椭圆曲线密码算法
B.国际上通行的商用加密标准
C.国家密码管理委员会办公室批准的流加密标准
D.国际通行的哈希算法
29.以下哪种无线加密标准的安全性最弱?
A
A.wep
B.wpa
C.wpa2
D.wapi
30.以下哪个不是防火墙具备的功能?
D
A.防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合
B.它是不同网络(安全域)之间的唯一出入口
C.能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流
D.防止来源于内部的威胁和攻击
31.桥接或透明模式是目前比较流行的防火墙部署方式,这种方式的优点不包括:
D
A.不需要对原有的网络配置进行修改
B.性能比较高
C.防火墙本身不容易受到攻击
D.易于在防火墙上实现NAT
32.有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件,这种机制称作:
A
A.异常检测
B.特征检测
C.差距分析
D.对比分析
33.在Unix系统中,/etc/service文件记录了什么内容?
A
A.记录一些常用的接口及其所提供的服务的对应关系
B.决定inetd启动网络服务时,启动哪些服务
C.定义了系统缺省运行级别,系统进入新运行级别需要做什么
D.包含了系统的一些启动脚本
34.以下哪个对windows系统日志的描述是错误的?
D
A.windows系统默认有三个日志,系统日志、应用程序日志、安全日志
B.系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障
C.应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息
D.安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等
35.在关系型数据库系统中通过“视图(view)”技术,可以实现以下哪一种安全原则?
A
A.纵深防御原则
B.最小权限原则
C.职责分离原则
D.安全性与便利性平衡原则
36.数据库事务日志的用途是什么?
B
A.事务处理
B.数据恢复
C.完整性约束
D.保密性控制
37.下面对于cookie的说法错误的是:
D
A.cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息
B.cookie可以存储一些敏感的用户信息,从而造成一定的安全风险
C.通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗
D.防范cookie欺骗的一个有效方法是不使用cookie验证方法,而使用session验证方法
38.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞?
D
A.缓冲区溢出
B.SQL注入
C.设计错误
D.跨站脚本
39.通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在?
C
A.明文形式存在
B.服务器加密后的密文形式存在
C.hash运算后的消息摘要值存在
D.用户自己加密后的密文形式存在
40.下列属于DDOS攻击的是:
B
A.Men-in-Middle攻击
B.SYN洪水攻击
C.TCP连接攻击
D.SQL注入攻击
41.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击?
D
A.重放攻击
B.Smurf攻击
C.字典攻击
D.中间人攻击
42.渗透性测试的第一步是:
A.信息收集
B.漏洞分析与目标选定
C.拒绝服务攻击
D.尝试漏洞利用
43.通过网页上的钓鱼攻击来获取密码的方式,实质上是一种:
A.社会工程学攻击
B.密码分析学
C.旁路攻击
D.暴力破解攻击
44.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法?
A.加强软件的安全需求分析,准确定义安全需求
B.设计符合安全准则的功能、安全功能与安全策略
C.规范开发的代码,符合安全编码规范
D.编制详细软件安全使用手册,帮助设置良好的安全使用习惯
45.根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中____确立安全解决方案的置信度并且把这样的置信度传递给客户。
A.保证过程
B.风险过程
C.工程和保证过程
D.安全工程过程
46.下列哪项不是SSE-CMM模型中工程过程的过程区?
A.明确安全需求
B.评估影响
C.提供安全输入
D.协调安全
47.SSE-CMM工程过程区域中的风险过程包含哪些过程区域?
A.评估威胁、评估脆弱性、评估影响
B.评估威胁、评估脆弱性、评估安全风险
C.评估威胁、评估脆弱性、评估影响、评估安全风险
D.评估威胁、评估脆弱性、评估影响、验证和证实安全
48.在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标:
A.防止出现数据范围以外的值
B.防止出现错误的数据处理顺序
C.防止缓冲区溢出攻击
D.防止代码注入攻击
49.信息安全工程监理工程师不需要做的工作是:
A.编写验收测试方案
B.审核验收测试方案
C.监督验收测试过程
D.审核验收测试报告
50.下面哪一项是监理单位在招标阶段质量控制的内容?
A.协助建设单位提出工程需求,确定工程的整体质量目标
B.根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需求部分
C.进行风险评估和需求分析完成招标文件中的技术需求部分
D.对标书应答的技术部分进行审核,修改其中不满足安全需求的内容
51.信息安全保障强调安全是动态的安全,意味着:
A.信息安全是一个不确定性的概念
B.信息安全是一个主观的概念
C.信息安全必须覆盖信息系统整个生命周期,随着安全风险的变化有针对性的进行调整
D.信息安全只能是保证信息系统在有限物理范围内的安全,无法保证整个信息系统的安全
52.关于信息保障技术框架(IATF),下列说法错误的是:
A.IATF强调深度防御,关注本地计算环境,区域边界,网络和基础设施,支撑性基础设施等多个领域的安全保障;
B.IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作
C.IATF强调从技术、管理和人等多个角度来保障信息系统的安全
D.IATF强调的是以安全监测、漏洞监测和自适用填充“安全间隙”为循环来提高网络安全
53.下面哪一项表示了信息不被非法篡改的属性?
A.可生存性
B.完整性
C.准确性
D.参考完整性
54.以下关于信息系统安全保障是主观和客观的结合说法最准确的是:
A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理,安全工程和人员安全等,以全面保障信息系统安全
B.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。
C.是一种通过客观证据向信息系统评估者提供主观信心的活动
D.是主观和客观综合评估的结果
55.公钥密码算法和对称密码算法相比,在应用上的优势是:
A.密钥长度更长
B.加密速度更快
C.安全性更高
D.密钥管理更方便
56.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?
A.DSS
B.Diffse-Hellman
C.RSA
DAES
57.目前对MD5,SHA1算法的攻击是指:
A.能够构造出两个不同的消息,这两个消息产生了相同的消息摘要
B.对于一个已知的消息摘要,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要。
C.对于一个已知的消息摘要,能够恢复其原始消息
D.对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证。
58、DSA算法不提供以下哪种服务?
A.数据完整性
B.加密
C.数字签名
D.认证
59.关于PKI/CA证书,下面哪一种说法是错误的:
A.证书上具有证书授权中心的数字签名
B.证书上列有证书拥有者的基本信息
C.证书上列有证书拥有者的公开密钥
D.证书上列有证书拥有者的秘密密钥
60认证中心(CA)的核心职责是_________?
A.签发和管理数字证书
B.验证信息
C.公布黑名单
D.撤销用户的证书
61下列哪一项是虚拟专用网络(VPN)的安全功能?
A.验证,访问控制和密码
B.隧道,防火墙和拨号
C.加密,鉴别和密钥管理
D.压缩,解密和密码
62以下对Kerberos协议过程说法正确的是:
A.协议可以分为两个步骤:
一是用户身份鉴别:
二是获取请求服务
B.协议可以分为两个步骤:
一是获得票据许可票据;二是获取请求服务
C.协议可以分为三个步骤:
一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可票据
D.协议可以分为三个步骤:
一是获得票据许可票据;二是获得服务许可票据;三是获得服务
63在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性。
以下哪一层提供了保密性、身份鉴别、数据完整性服务?
A.网络层
B.表示层
C.会话层
D.物理层
64以下哪种无线加密标准的安全性最弱?
A.Wep
BWpa
CWpa2
DWapi
65.Linux系统的用户信息保存在passwd中,某用户条目
backup:
*:
34:
34:
backup:
/var/backups:
/bin/sh,以下关于该账号的描述不正确的是:
A.backup账号没有设置登录密码
B.backup账号的默认主目录是/var/backups
C.Backup账号登录后使用的shell是bin/sh
D.Backup账号是无法进行登录
66以下关于linux超级权限的说明,不正确的是:
A.一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成
B.普通用户可以通过su和sudo来获得系统的超级权限
C.对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行
D.Root是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限
67在WINDOWS操作系统中,欲限制用户无效登录的次数,应当怎么做?
A.在“本地安全设置”中对“密码策略”进行设置
B.在“本地安全设置”中对“账户锁定策略”进行设置
C.在“本地安全设置”中对“审核策略”进行设置
D.在“本地安全设置”中对“用户权利指派”进行设置
68.以下对WINDOWS系统日志的描述错误的是:
A.windows系统默认的由三个日志,系统日志,应用程序日志,安全日志
B.系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障。
C.应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息
D.安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等
69以下关于windowsSAM(安全账户管理器)的说法错误的是:
A.安全账户管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam
B.安全账户管理器(SAM)存储的账号信息是存储在注册表中
C.安全账户管理器(SAM)存储的账号信息对administrator和system是可读和可写的
D.安全账户管理器(SAM)是windows的用户数据库,系统进程通过SecurityAccountsManager服务进行访问和操作
70在关系型数据库系统中通过“视图(view)”技术,可以实现以下哪一种安全原则?
A.纵深防御原则
B.最小权限原则
C.职责分离原则
D.安全性与便利性平衡原则
71、下列哪项不是安全管理方面的标准?
AISO27001
BISO13335
CGB/T22080
DGB/T18336
72、目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?
A.公安部
B.国家密码局
C.信息产业部
D.国家密码管理委员会办公室
73、下列哪项不是《信息安全等级保护管理办法》(公通字[2007]43号)规定的内容:
A.国家信息安全等级保护坚持自主定级,自主保护的原则。
B.国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查。
C.跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级
D.第二级信息系统应当每年至少进行一次等级测评,第三级信息系统应当每半年至少进行一次等级测评。
74、《刑法》第六章第285、286、287条对计算机犯罪的内容和量刑进行了明确的规定,下列哪一项不是其中规定的罪行?
A.非法入侵计算机信息系统罪
B.破坏计算机信息系统罪
C.利用计算机实施犯罪
D.国家重要信息系统管理者玩忽职守罪
75、一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案?
A. 公安部公共信息网络安全监察局及其各地相应部门
B. 国家计算机网络与信息安全管理中心
C. 互联网安全协会
D. 信息安全产业商会
76、下列哪个不是《商用密码管理条例》规定的内容?
A. 国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作
B. 商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理
C. 商用密码产品由国家密码管理机构许可的单位销售
D. 个人可以使用经国家密码管理机构认可之外的商用密码产品
77、下面关于《中华人民共和国保守国家秘密法》的说法错误的是:
A. 秘密都有时间性,永久保密是没有的
B. 《保密法》规定一切公民都有保守国家秘密的义务
C. 国家秘密的级别分为“绝密”“机密”“秘密”三级
D. 在给文件确定密级时,从保密的目的出发,应将密级尽量定高
78.数据库事务日志的用途是:
A.事务处理
B.数据恢复
C.完整性约束
D.保密性控制
79.下面对于cookie的说法错误的是:
A.cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息。
B.cookie可以存储一些敏感的用户信息,从而造成一定的安全风险
升级会员 