CISP试题及答案7套题资料.docx
《CISP试题及答案7套题资料.docx》由会员分享,可在线阅读,更多相关《CISP试题及答案7套题资料.docx(15页珍藏版)》请在冰点文库上搜索。
CISP试题及答案7套题资料
1.下面关于信息安全保障的说法正确的是:
A.信息安全保障的概念是与信息安全的概念同时产生的
B.信息系统安全保障要素包括信息的完整性、可用性和保密性
C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段
D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施在系统的生命周期内确保信息的安全属性
2.根据《GB/T20274信息安全保障评估框架》,对信息系统安全保障能力进行评估应
A.信息安全管理和信息安全技术2个方面进行
B.信息安全管理、信息安全技术和信息安全工程3个方面进行
C.信息安全管理、信息安全技术、信息安全工程和人员4个方面进行
D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进行
3.哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模
通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征
4.对于信息安全发展历史描述正确的是:
A.信息安全的概念是随着计算机技术的广泛应用而诞生的
B.目前信息安全己经发展到计算机安全的阶段
C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人员同样是促进系统安全性的重要因素
D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”,再到“信息安全”,直至现在的“信息安全保障”
5.ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务
A.加密
B.数字签名
C.访问控制
D.路由控制
6.表示层
7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性
A.ITSEC
B.TCSEC
C.GB/T9387.2
D.彩虹系列的橙皮书
8.下面对于CC的“保护轮廓”(PP)的说法最准确的是:
A.对系统防护强度的描述
B.对评估对象系统进行规范化的描述
C.对一类TOE的安全需求,进行与技术实现无关的描述
D.由一系列保证组件构成的包,可以代表预先定义的保证尺度
9.以下哪一项属于动态的强制访问控制模型?
A.Bell一Lapudufa模型
B.
10.
C.Strongstarproperty处于
D.Bell一Lapadula模型的访问规则主要是出于对保密性的保护而制定的
11.下面对于强制访问控制的说法错误的是?
A它可以用来实现完整性保护,也可以用来实现机密性保护
B在强制访问控制的系统中,用户只能定义客体的安全属性
C它在军方和政府等安全要求很高的地方应用较多
D它的缺点是使用中的便利性比较低
12.以下哪两个安全模型分别是多级完整性模型和多边保密模型?
A.Biba模型和Bell一Lapadula模型
B.Bell一Lapaduia模型和Biba模型
C.ChineseWall模型和Bell一Lapadula模型
D.Biba模型和ChineseWall模型
13.在一个使用ChineseWall模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个兴趣冲突域中,那么可以确定一个新注册的用户:
A.只有访问了W之后,才可以访问X
B.只有访问了W之后,才可以访问Y和Z中的一个
C.无论是否访问W,都只能访问Y和Z中的一个
D.无论是否访问W,都不能访问Y或Z
14.BMA访问控制模型是基于
A.健康服务网络
B.ARPANET
C.ISP
D.INTERNET
15.
16.
证书持有者的公钥
证书颁发机构的签名
证书有效期
17.下面关于密码算法的说法错误的是?
A.分组密码又称作块加密
B.流密码又称作序列密码
C.DES算法采用的是流密码
D.序列密码每次加密一位或一个字节的明文
18.下面对于SSH的说法错误的是?
A.SSH是SecureShell的简称
B.客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证
C.通常Linux操作系统会在/usr/local目录下默认安装OpenSSH
D.SSH2比SSH1更安全
19.下面对于标识和鉴别的解释最准确的是:
A.标识用于区别不同的用户,而鉴别用于验证用户身份的真实性
B.标识用于区别不同的用户,而鉴别用于赋予用户权限
C.标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性
D.标识用于保证用户信息的完整性,而鉴别用于赋予用户权限
20.指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:
A.你是什么
B.你有什么
C.你知道什么
D.你做了什么
21.安全审计是对系统活动和记录的独立检查和验证,以下哪一项不是审计系统的
A.辅助辨识和分析XX的活动或攻击
B.对与己建立的安全策略的一致性进行核查
C.及时阻断违反安全策略的访问
D.帮助发现需要改进的安全控制措施
22.下面哪一项不是通用IDS模型的组成部分:
A.传感器
B.过滤器
23.
24.以下哪一项属于物理安全方面的管理控制措施?
A.照明
B.护柱
C.培训
D.建筑设施的材料
25.以下哪种不是火灾探测器类型:
A.电离型烟传感器
B.光电传感器
C.声学震动探测系统
D.温度传感器
26.以下关于事故的征兆和预兆说法不正确的是:
A.预兆是事故可能在将来出现的标志
B.征兆是事故可能己经发生或正在发生的标志
C.预兆和征兆的来源包括网络和主机IDS、防病毒软件、系统和网络日志
D.所有事故的预兆和征兆都是可以发现的
27.组织机构应根据事故类型建立揭制策略,需要考虑以下几个因素,除了:
A、实施策略需要的时间和资源B、攻击者的动机C、服务可用性D、证据保留的时间
28、下面安全套接字层协议(SSL)的说法错误的是?
A、它是一种基于Web应用的安全协议B、由于SSL是内嵌的浏览器中的,无需安全客户端软件,所以相对于IPSEC更简C、SSL与IPSec一样都工作在网络层
D、SSL可以提供身份认证、加密和完整性校验的功能
29、用来为网络中的主机自动分配IP地址、子网掩码、默认网关、wins服务器地址的网?
A、ARPB、IGMPC、ICMPD、DHCP
301下面哪一项不是VPN协议标准:
A、L2TPB、ipsecC、TACACS+D、PPTP
30、IPSEC的两种使用模式分别是_______和_____
A传输模式、安全壳模式B传输模式、隧道模式C隧道模式、ESP模式
D安全壳模式、AH模式
31、组成IPSEC的主要安全协议不包括以下哪一项:
A、ESPB、DSSC、IKED、AH
32、在UNIX系统中输入命令“LS-altest”显示如下;
-rwxr-xr-x3rootroot1024Sep1311:
58test”对他的含义解释错误的是:
A、这是一个文件,而不是目录
B、文件的拥有者可以对这个文件读、写和执行的操作
C、文件所属组的成员有可以读它,也可以执行它
D、其他所有用户只可以执行它
33、计算机具有的IP地址是有限的,但通常计算机会开启多项服务或运行多个应用程序,那么如何在网络通信中对这些程序或服务进行单独标识?
A分配网络端口号(如ftp服务对应21端口)B利用MAC地址C使用子网掩码D利用PKI/CA
34、ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:
Ahttpd.confBsrm.confCinetd.confDaccess.conf
35、下面哪一项是操作系统中可信通路(trustpath)机制的实例?
AWindow系统中ALT+CTRL+DEL
Broot在Linux系统上具有绝对的权限
C以root身份作任何事情都要谨慎
D控制root用户的登录可以在/etc/security目录下的access.conf文件中进行设置
36、以下对Windows服务的说法错误的是()
A为了提升系统的安全性管理员应尽量关闭不需要的服务
BWindows服务只有在用户成功登录系统后才能运行
C可以作为独立的进程运行或以DLL的形式依附在Svchost.exe
Dwindows服务通常是以管理员的身份运行的
37、以下哪一项不是IIS服务器支持的访问控制过滤类型?
A网络地址访问控制Bweb服务器许可CNTFS许可D异常行为过滤
38、下列哪一项与数据库的安全有直接关系?
A访问控制的粒度B数据库的大小C关系表中属性的数量D关系表中元组的数量
39、下列哪一组Oracle数据库的默认用户名和默认口令?
A用户名:
“Scott”;口令:
“tiger”B用户名:
“Sa”;口令:
“nullr”
C用户名:
“root”;口令:
“null”D用户名:
“admin”;口令:
“null”
40、关于数据库安全的说法错误的是?
A数据库系统的安全性很大程度上依赖于DBMS的安全机制
B许多数据库系统在操作系统一下文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件
C为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段
D数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护
42、下面关于计算机恶意代码发展趋势的说法错误的是:
A木马和病毒盗窃日益猖獗B利用病毒犯罪的组织性和趋利性增加
C综合利用多种编程新技术、对抗性不断增加D复合型病毒减少,而自我保护功能增加
43、关于网页中的恶意代码,下列说法错误的是:
A网页中的恶意代码只能通过IE浏览器发挥作用
B网页中恶意代码可以修改系统注册表
C网页中的恶意代码可以修改系统文件
D网页中的恶意代码可以窃取用户的机密性文件
44、下面对于“电子邮件炸弹”的解释最准确的是:
A邮件正文中包含的恶意网站链接
B邮件附件中具有强破坏性的病毒
C社会工程的一种方式,具有恐吓内容的邮件
D在短时间内发送大量邮件软件,可以造成目标邮箱爆满
45、以下哪一项是常见Web站点脆弱性扫描工具:
ASnifferBNmapCAppscanDLC
46、下面哪一项不是安全编程的原则
A尽可能使用高级语言进行编程
B尽可能让程序只实现需要的功能
C不要信任用户输入的数据
D尽可能考虑到意外的情况,并设计妥善的处理方法
47、黑客进行攻击的最后一个步骤是:
A侦查与信息收集B漏洞分析与目标选定C获取系统权限D打扫战场、清楚证据
48、下面哪一项是缓冲溢出的危害?
A可能导致shellcode的执行而非法获取权限,破坏系统的保密性
B执行shellcode后可能进行非法控制,破坏系统的完整性
C可能导致拒绝服务攻击,破坏系统的可用性
D以上都是
49、以下哪一项是DOS攻击的一个实例
ASQL注入BIPSpoofCSmurf攻击D字典破解
50、以下对于蠕虫病毒的错误说法是()
A通常蠕虫的传播无需用户的操作
B蠕虫病毒的主要危害体现在对数据保密的破坏
C蠕虫的工作原理与病毒相似,除了没有感染文件
D是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统
51、以下哪一项不是跨站脚本攻击?
A给网站挂马B盗取COOKIEC伪造页面信息D暴力破解密码
52.对能力成熟度模型解释最准确的是?
A.它认为组织的能力依赖与严格定义,管理完善,可测可控的有效业务过程。
B.它通过严格考察工程成果来判断工程能力。
C.它与统计过程控制的理论出发点不同,所以应用于不同领域。
D.它是随着信息安全的发展而诞生的重要概念。
53.一个单位在处理一台储存过高密级信息的计算机是首先应该做什么?
A.将硬盘的每一个比特写成“O”
B.将硬盘彻底毁坏
C.选择秘密信息进行删除
D.进行低级格式化
60.变更控制是信息系统运行管理的重要的内容,在变更控制的过程中:
A.应该尽量追求效率,而没有任何的程序和核查的阻碍。
B.应该将重点放在风险发生后的纠正措施上。
C.应该很好的定义和实施风险规避的措施。
D.如果是公司领导要求的,对变更过程不需要追踪和审查
61.在信息系统的开发和维护过程中,以下哪一种做法是不应该被赞成的
A.在购买软件包后,依靠本单位的技术力量对软件包进行修改,加强代码的安全性。
B.当操作系统变更后,对业务应用系统进行测试和评审。
C.在需要是对操作文档和用户守则进行适当的修改。
D.在安装委外开发的软件前进行恶意代码检测。
62.对于信息系统访问控制说法错误的是?
A.应该根据业务需求和安全要求制定清晰的访问控制策略,并根据需要进行评审和改进。
B.网络访问控制是访问控制的重中之重,网络访问控制做好了操作系统和应用层次的访问控制就会解决
C.做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控制中的有关责任
D.移动计算和远程工作技术的广泛应用给访问控制带来新的问题,因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施
63.对程序源代码进行访问控制管理时,以下那种做法是错误的?
A.若有可能,在实际生产系统中不保留源程序库。
B.对源程序库的访问进行严格的审计
C.技术支持人员应可以不受限制的访问源程序
D.对源程序库的拷贝应受到严格的控制规程的制约
64.目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是?
A.数据库系统庞大会提高管理成本
B.数据库系统庞大会降低管理效率
C.数据的集中会降低风险的可控性
D.数据的集中会造成风险的集中
65.管理者何时可以根据风险分析结果对已识别风险不采取措施
A.当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时
B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制范围之内时
D.不可接受
66.在风险评估中进行定量的后果分析时,如果采用年度风险损失值的方法进行计算,应当使用一下哪个公式?
A.SLE(单次损失预期值)xARO(年度发生率)
B.ARO(年度发生率)xEF(暴露因子)
C.SLE(单次损失预期值)xEF(暴露因子)xARO(年度发生率)
D.SLE(单次损失预期值)xARO(年度发生率)—EF(暴露因子)
67风险管理的重点:
A.将风险降低到可以接受的程度
B.不计代价的降低风险
C.将风险转移给第三方
D.惩罚违反安全策略规定的雇员
68.风险评估按照评估者的不同可以分为自评估和第三方评估,这两种评估方式最本质的差别是什么?
A.评估结果的客观性
B.评估工具的专业程度
C.评估人员的技术能力
D.评估报告的形式
69.以下关于风险管理的描述不正确的是?
A.风险的四种控制方法有:
减低风险/转嫁风险/规避风险/接受风险
B.信息安全风险管理是否成功在于发现是否切实被消除了
C.组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全
D.信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别多少或消除的过程。
70.从风险分析的观点来看,计算机系统的最主要安全脆弱性存在于——
A.计算机内部处理
B.系统输入输出
C.网络和通讯
D.数据存储介质
71.以下选项中那一项是对信息安全风险采取的纠正机制?
A.访问控制
B.入侵检测
C.灾难恢复
D.防病毒系统
72.下面哪一项最准确的阐述了安全检测措施和安全审计之间的区别?
A.审计措施不能自动执行,而检测措施可以自动执行
B.检测措施不能自动执行,而审计措施可以自动执行
C.审计措施是一次性的或周期性的进行,而检测措施是实时的进行
D.检测措施是一次性的或周期性的进行,而审计措施是实时的进行
73.下面哪一项安全控制措施不是用来检测XX的信息处理活动的:
A.设置网络连接时限
B.记录并分析系统错误日志
C.记录并分析用户和管理员日志
D.时钟同步
74.信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的?
A.信息的价值
B.信息的时效性
C.信息的存储
D.法律法规的规定
75.下面关于ISO27002说法错误的是?
A.ISO27002前身是ISO17799—1
B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部
C.ISO27002对于每个控制措施的表述分:
“控制措施、实施指南和其他信息”三个部分来进行描述
D.ISO27002提出了十一大类安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施?
76.进行信息安全管理体系的建设是一个涉及企业文化,信息系统特点、法律法规限制等多方面因素的复杂过程,人们在这样的过程中总结了许多经验,下面哪一项是最不值得被赞同的。
A.成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持。
B.制定的信息安全管理措施应当与组织的文化环境相匹配
C.应该对ISO27002国际标准批判的参考,不能完全照搬
D.借助有经验的大型国际咨询公司,往往可以提高公司管理体系的执行效果
77.那一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问链接的能力?
A.包过滤防火墙
B.状态检测防火墙
C.应用网关防火墙
D.以上都不能
78下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令。
A.NMAP
B.NLSOOKUP
C.ICESWord
D.Xscan
53信安标委中哪个小组负责信息安全管理工作?
A、WG1B、WG5C、WG7