CISP试题及答案三套题.docx
《CISP试题及答案三套题.docx》由会员分享,可在线阅读,更多相关《CISP试题及答案三套题.docx(22页珍藏版)》请在冰点文库上搜索。
CISP试题及答案三套题
1. 人们对信息平安的认识从信息技术平安开展到信息平安保障,主要是由于:
A.为了更好地完成组织机构的使命
B.针对信息系统的攻击方式发生重大变化
C.风险控制技术得到革命性的开展
D.除了性,信息的完整性和可用性也引起人们的关注
2. 信息平安保障的最终目标是:
A.掌握系统的风险,制定正确的策略
B.确保系统的性、完整性和可用性
C.使系统的技术、管理、工程过程和人员等平安保障要素到达要求
D.保障信息系统实现组织机构的使命
3. 关于信息保障技术框架〔IATF〕,以下哪种说法是错误的?
A.IATF强调深度防御〔Defense-in-Depth〕,关注本地计算环境、区域边界、网络和根底设施、支撑性根底设施等多个领域的平安保障;
B.IATF强调深度防御〔Defense-in-Depth〕,即对信息系统采用多层防护,实现组织的业务平安运作
C.IATF强调从技术、管理和人等多个角度来保障信息系统的平安;
D.IATF强调的是以平安检测、漏洞监测和自适应填充“平安间隙〞为循环来提高网络平安
4. 依据国家标准GB/T20274?
信息系统平安保障评估框架?
,信息系统平安目标〔ISST〕是从信息系统平安保障____的角度来描述的信息系统平安保障方案。
A.建立者
B.所有者
C.评估者
D.制定者
5. 以下关于信息系统平安保障是主观和客观的结合说法错误的选项是:
A.通过在技术、管理、工程和人员方面客观地评估平安保障措施,向信息系统的所有者提供其现有平安保障工作是否满足其平安保障目标的信心。
B.信息系统平安保障不仅涉及平安技术,还应综合考虑平安管理、平安工程和人员平安等,以全面保障信息系统平安
C.是一种通过客观证据向信息系统所有者提供主观信心的活动
D.是主观和客观综合评估的结果;
6. 信息系统保护轮廓〔ISPP〕定义了__.
A. 某种类型信息系统的与实现无关的一组系统级平安保障要求
B. 某种类型信息系统的与实现相关的一组系统级平安保障要求
C. 某种类型信息系统的与实现无关的一组系统级平安保障目的
D. 某种类型信息系统的与实现相关的一组系统级平安保障目的
7. 以下对PPDR模型的解释错误的选项是:
A.该模型提出以平安策略为核心,防护、检测和恢复组成一个完整的,
B.该模型的一个重要奉献是加进了时间因素,而且对如何实现系统平安状态给出了操作的描述
C.该模型提出的公式1:
Pt>Dt+Rt,代表防护时间大于检测时间加响应时间
D.该模型提出的公式1:
Pt=Dt+Rt,代表防护时间为0时,系统检测时间等于检测时间加响应时间
8. 以下哪一项不是我国国务院信息化办公室为加强信息平安保障明确提出的九项作容之一?
A.提高信息技术产品的国产化率
B.保证信息平安资金投入&
C.加快信息平安人才培养
D.重视信息平安应急处理工作
9. 谁首先提出了扩散-混淆的概念并应用于密码学领域?
A. 香农
B. Shamir
C. Hellman
D. 图灵
10. 以下哪些问题、概念不是公钥密码体制中经常使用到的困难问题?
A.大整数分解
B.离散对数问题
C.背包问题
D.伪随机数发生器
11. 以下关于kerckhofff准那么的合理性阐述中,哪一项为哪一项正确的?
A. 保持算法的秘密比保持密钥的秘密性要困难得多
B. 密钥一旦泄漏,也可以方便地更换
C. 在一个密码系统中,密码算法是可以公开的,密钥应保证平安
D. 公开的算法能够经过更严格的平安性分析
12. 以下关于RSA算法的说法,正确的选项是:
A. RSA不能用于数据加密
B. RSA只能用于数字签名
C. RSA只能用于密钥交换
D. RSA可用于加密,数字签名和密钥交换体制
13. Hash算法的碰撞是指:
A. 两个不同的消息,得到一样的消息摘要
B. 两个一样的消息,得到不同的消息摘要
C. 消息摘要和消息的长度一样
D. 消息摘要比消息的长度更长
14. 以下哪种算法通常不被用于保证性?
A. AES
B. RC4
C. RSA
D. MD5
15. 数字证书的功能不包括:
A. 加密
B. 数字签名
C. 身份认证
D. 消息摘要
16. 以下哪一项为哪一项注册机构〔RA〕的职责?
A.证书发放
B.证书注销
C.提供目录效劳让用户查询
D.审核申请人信息
17. IPsec工作模式分别是:
A. 一种工作模式:
加密模式
B. 三种工作模式:
模式、传输模式、认证模式
C. 两种工作模式:
隧道模式、传输模式
D. 两种工作模式:
隧道模式、加密模式
18. 以下哪些描述同SSL相关?
A. 公钥使用户可以交换会话密钥,解密会话密钥并验证数字签名的真实性
B. 公钥使用户可以交换会话密钥,验证数字签名的真实性以及加密数据
C. 私钥使用户可以创立数字签名,加密数据和解密会话密钥。
19. 以下关于IKE描述不正确的选项是:
A.IKE可以为IPsec协商关联
B.IKE可以为RIPV2\OSPPV2等要求的协议协商平安参数
C.IKE可以为L2TP协商平安关联
D.IKE可以为SNMPv3等要求的协议协调平安参数
20. 下面哪一项不是VPN协议标准?
A. L2TP
B. IPSec
C. TACACS
D. PPTP
21. 自主访问控制与强制访问控制相比具有以下哪一个优点?
A.具有较高的平安性
B.控制粒度较大
C.配置效率不高
D.具有较强的灵活性
22. 以下关于ChineseWall模型说确的是
A. Bob可以读银行a的中的数据,那么他不能读取银行c中的数据
B. 模型中的有害客体是指会产生利益冲突,不需要限制的数据
C. Bob可以读银行a的中的数据,那么他不能读取石油公司u中的数据
D. Bob可以读银行a的中的数据,Alice可以读取银行b中的数据,他们都能读取在油公司u中的数据,由那么Bob可以往石油公司u中写数据
23. 以下关于BLP模型规那么说法不正确的选项是:
A.BLP模型主要包括简单平安规那么和*-规那么
B.*-规那么可以简单表述为下写
C.主体可以读客体,当且仅当主体的平安级可以支配客体的平安级,且主体对该客体具有自主型读权限
D.主体可以读客体,当且仅当客体的平安级可以支配主体的平安级,且主体对该客体具有自主型读权限
24. 以下关于RBAC模型说确的是:
A.该模型根据用户所担任的角色和平安级来决定用户在系统中的访问权限
B.一个用户必须扮演并激活某种角色,才能对一个象进展访问或执行某种操作
C.在该模型中,每个用户只能有一个角色
D.在该模型中,权限与用户关联,用户与角色关联
25. 以下对常见强制访问控制模型说法不正确的选项是:
A.BLP影响了许多其他访问控制模型的开展
B.Clark-Wilson模型是一种以事物处理为根本操作的完整性模型
C.ChineseWall模型是一个只考虑完整性的平安策略模型
D.Biba模型是一种在数学上与BLP模型对偶的完整性保护模型
26. 访问控制的主要作用是:
A. 防止对系统资源的非授权访问
B. 在平安事件后追查非法访问活动
C. 防止用户否认在信息系统中的操作
D. 以上都是
27. 作为一名信息平安专业人员,你正在为某公司设计信息资源的访问控制策略。
由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用以下哪一种访问控制模型?
A.自主访问控制〔DAC〕
B.强制访问控制(MAC)
C.基于角色访问控制(RBAC)
D.最小特权(LEASTPrivilege)
28. 以下对kerberos协议特点描述不正确的选项是:
A. 协议采用单点登录技术,无法实现分布式网络环境下的认证—
B. 协议与授权机制相结合,支持双向的身份认证
C. 只要用户拿到了TGT并且TGT没有过期,就可以使用该TGT通过TGS完成到任一个效劳器的认证而不必重新输入密码
D. AS和TGS是集中式管理,容易形成瓶颈,系统的性能和平安也严重依赖于AS和TGS的性能和平安
29. 以下对单点登录技术描述不正确的选项是:
A.单点登录技术实质是平安凭证在多个用户之间的传递或共享
B.使用单点登录技术用户只需在登录时进展一次注册,就可以访问多个应用
C.单点登录不仅方便用户使用,而且也便于管理
D.使用单点登录技术能简化应用系统的开发
30. 以下对标识和鉴别的作用说法不正确的选项是:
A. 它们是数据源认证的两个因素
B. 在审计追踪记录时,它们提供与某一活动关联确实知身份
C. 标识与鉴别无法数据完整性机制结合起来使用
D. 作为一种必要支持,访问控制的执行依赖于标识和鉴别确知的身份
31. 下面哪一项不属于集中访问控制管理技术?
A.RADIUS
B.TEMPEST
C.TACACS
D.Diameter
32. 平安审计是系统活动和记录的独立检查和验证,以下哪一项不是审计系统的作用?
A.辅助辨识和分析XX的活动或攻击
B.对与已建立的平安策略的一致性进展核查
C.及时阻断违反平安策略的致性的访问
D.帮助发现需要改良的平安控制措施
33. 以下对蜜网关键技术描述不正确的选项是:
A. 数据捕获技术能够检测并审计黑客的所有行为数据
B. 数据分析技术那么帮助平安研究人员从捕获的数据中分析出黑客的具体活动,使用工具及其意图
C. 通过数据控制能够确保黑客不能利用蜜网危害第三方网络的平安
D. 通过数据控制、捕获和分析,能对活动进展监视、分析和阻止
34. 以下哪种无线加密标准中哪一项的平安性最弱?
A.Wep
B.wpa
C.wpa2
D.wapi
35. 路由器的标准访问控制列表以什么作为判别条件?
A. 数据包的大小
B. 数据包的源地址
C. 数据包的端口号
D. 数据包的目的地址
36. 通常在设计VLAN时,以下哪一项不是VIAN规划方法?
A.基于交换机端口
B.基于网络层协议
C.基于MAC地址
D.基于数字证书
37. 防火墙中网络地址转换〔MAT〕的主要作用是:
A.提供代理效劳
B.隐藏部网络地址
C.进展入侵检测
D.防止病毒入侵
38. 哪一类防火墙具有根据传输信息的容〔如关键字、文件类型〕来控制访问连接的能力?
A.包过滤防火墙
B.状态检测防火墙
C.应用网关防火墙
D.以上都不能
39. 以下哪一项不属于入侵检测系统的功能?
A.监视网络上的通信数据流
B.捕捉可疑的网络活动
C.提供平安审计报告
D.过滤非法的数据包
40.下面哪一项不是通用IDS模型的组成局部:
A.传感器
B.过滤器
C.分析器
D.管理器
41.windows操作系统中,令人欲限制用户无效登录的次数,应当怎么做?
A.在〞本地平安设置〞中对〞密码策略〞进展设置
B.在〞本地平安设置〞中对〞用户锁定策略〞进展设置
C.在〞本地平安设置〞中对〞审核策略〞进展设置
D.在〞本地平安设置〞中对〞用户权利措施〞进展设置
42.以下哪一项与数据库的平安的直接关系?
A.访问控制的程度
B.数据库的大小
C.关系表中属性的数量
D.关系表中元组的数量
43.ApacheWeb效劳器的配置文件一般位于//local/spache/conf目录.其中用来控制用户访问Apache目录的配置文件是:
A.httqd.conf
B.srm.conf
C.access.conf
D.inetd.conf
44.关于计算机病毒具有的感染能力不正确的选项是:
A.能将自身代码注入到引导区
B.能将自身代码注入到限区中的文件镜像
C.能将自身代码注入文本文件中并执行
D.能将自身代码注入到文档或模板的宏中代码
45.蠕虫的特性不包括:
A.文件寄生
B.拒绝效劳
C.传播快
D.隐蔽性好
46.关于网页中的恶意代码,以下说法错误的选项是:
A.网页中的恶意代码只能通过IE浏览器发挥作用
B.网页中的恶意代码可以修改系统注册表
C.网页中的恶意代码可以修改系统文件
D.网页中的恶意代码可以窃取用户的文件
47.当用户输入的数据被一个解释器当作命令或查询语句的一局部执行时,就会产生哪种类型的漏洞?
A.缓冲区溢出
B.设计错误
C.信息泄露
D.代码注入
48.以下哪一项不是信息平安漏洞的载体?
A.网络协议
B.操作系统
C.应用系统
D.业务数据
49.攻击者使用伪造的SYN包,包的源地址和目标地址都被设置成被攻击方的地址,这样被攻击方会给自己发送SYN-ACK消息并发回ACK消息,创立一个连接,每一个这样的连接都将保持到超时为止,这样过多的空连接会耗尽被攻击方的资源,导致拒绝效劳.这种攻击称为之为:
A.Land攻击
B.Smurf攻击
C.PingofDeath攻击
D.ICMPFlood
50.以下哪个攻击步骤是IP欺骗(IPSPoof)系列攻击中最关键和难度最高的?
A.对被冒充的主机进展拒绝效劳,使其无法对目标主机进展响应
B.与目标主机进展会话,猜想目标主机的序号规那么
C.冒充受信主机想目标主机发送数据包,欺骗目标主机
D.向目标主机发送指令,进展会话操作
51.以下针对Land攻击的描述,哪个是正确的?
A.Land是一种针对网络进展攻击的方式,通过IP欺骗的方式向目标主机发送欺骗性数据报文,导致目标主机无法访问网络
B.Land是一种针对网络进展攻击的方式,通过向主机发送伪造的源地址为目标主机自身的连接请求,导致目标主机处理错误形成拒绝效劳
C.Land攻击是一种利用协议漏洞进展攻击的方式,通过发送定制的错误的数据包使主机系统处理错误而崩溃
D.Land是一种利用系统漏洞进展攻击的方式,通过利用系统漏洞发送数据包导致系统崩溃
52.以下对垮站脚本攻击(XSS)描述正确的选项是:
A.XSS攻击指的是恶意攻击者往WEB页面里插入恶意代码,当用户浏览该页之时,嵌入其中WEB里面的代码会被执行,从而到达恶意攻击用户的特殊目的.
B.XSS攻击是DDOS攻击的一种变种
C.XSS.攻击就是CC攻击
D.XSS攻击就是利用被控制的机器不断地向被发送访问请求,迫使NS连接数超出限制,当CPU资源或者带宽资源耗尽,那么也就被攻击垮了,从而到达攻击目的
53.以下哪一项不属于FUZZ测试的特性?
A.主要针对软件漏洞或可靠性错误进展测试.
B.采用大量测试用例进展鼓励响应测试
C.一种试探性测试方法,没有任何依据&
D.利用构造畸形的输入数据引发被测试目标产生异常
54.对攻击面(Attacksurface)的正确定义是:
A.一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的平安性就越低
B.对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大平安风险就越大
C.一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,平安风险也越大
D.一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,平安风险也越大
55.以下哪个不是软件平安需求分析阶段的主要任务?
A.确定团队负责人和平安参谋
B.威胁建模
C.定义平安和隐私需求(质量标准)
D.设立最低平安标准/Bug栏
56.风险评估方法的选定在PDCA循环中的那个阶段完成?
A.实施和运行
B.保持和改良
C.建立
D.监视和评审
57.下面关于ISO27002的说法错误的选项是:
A.ISO27002的前身是ISO17799-1
B.ISO27002给出了通常意义下的信息平安管理最正确实践供组织机构选用,但不是全部
C.ISO27002对于每个措施的表述分〞控制措施〞、“实施指南〞、和“其它信息〞三个局部来进展描述
D.ISO27002提出了十一大类的平安管理措施,其中风险评估和处置是处于核心地位的一类平安措施
58.下述选项中对于“风险管理〞的描述正确的选项是:
A.平安必须是完美无缺、面面俱到的。
B.最完备的信息平安策略就是最优的风险管理对策。
C.在解决、预防信息平安问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍
D.防缺乏就会造成损失;防过多就可以防止损失。
59.风险评估主要包括风险分析准备、风险素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的?
A.风险分析准备的容是识别风险的影响和可能性
B.风险要素识别的容是识别可能发生的平安事件对信息系统的影响程度
C.风险分析的容是识别风险的影响和可能性
D.风险结果判定的容是发现系统存在的威胁、脆弱和控制措施
60.你来到效劳器机房隔壁的一间办公室,发现窗户坏了。
由于这不是你的办公室,你要求在这办公的员工请维修工来把窗户修好。
你离开后,没有再过问这事。
这件事的结果对与持定脆弱性相关的威胁真正出现的可能性会有什么影响?
A.如果窗户被修好,威胁真正出现的可能性会增加
B.如果窗户被修好,威胁真正出现的可能性会保持不变
C.如果窗户没被修好,威胁真正出现的可能性会下降
D.如果窗户没被修好,威胁真正出现的可能性会增加
61.在对平安控制进展分析时,下面哪个描述是错误的?
A.对每一项平安控制都应该进展本钱收益分析,以确定哪一项平安控制是必须的和有效的
B.应选择对业务效率影响最小的平安措施
C.选择好实施平安控制的时机和位置,提高平安控制的有效性
D.仔细评价引入的平安控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应
62.以下哪一项不是信息平安管理工作必须遵循的原那么?
A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期的持续性工作
C.由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施本钱会相对较低
D.在系统正式运行后,应注重剩余风险的管理,以提高快速反响能力
63.对于信息系统风险管理描述不正确的选项是:
A.漏洞扫描是整个平安评估阶段重要的数据来源而非全部
B.风险管理是动态开展的,而非停滞、静态的
C.风险评估的结果以及决策方案必须能够相互比拟才可以具有较好的参考意义
D.风险评估最重要的因素是技术测试工具
64.以下哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系?
A.脆弱性增加了威胁,威胁利用了风险并导致了暴露
B.风险引起了脆弱性并导致了暴露,暴露又引起了威胁
C.风险允许威胁利用脆弱性,并导致了暴露
D.威胁利用脆弱性并产生影响的可能性称为风险,暴露是威胁已造成损害的实例
65.统计数据指出,对大多数计算机系统来说,最大的威胁是:
A.本单位的雇员
B.黑客和商业间谍
C.未受培训的系统用户
D.技术产品和效劳供给商
66.风险评估按照评估者的不同可以分为自评和第三方评估。
这两种评估方式最本质的差异是什么?
A.评估结果的客观性
B.评估工具的专业程度
C.评估人员的技术能力
D.评估报告的形式
67.应当如何理解信息平安管理体系中的“信息平安策略〞?
A.为了到达如何保护标准而提供的一系列建议
B.为了定义访问控制需求面产生出来的一些通用性指引
C.组织高层对信息平安工作意图的正式表达
D.一种分阶段的平安处理结果
68.以下哪一个是对人员平安管理中“授权蔓延〞这概念的正确理解?
A.外来人员在进展系统维护时没有收到足够的监控
B.一个人拥有了不是其完成工作所必要的权限
C.敏感岗位和重要操作长期有一个人单独负责
D.员工由一个岗位变动到另一人岗位,累积越来越多权限
69.一个组织中的信息系统普通用户,以下哪一项为哪一项不应该了解的?
A.谁负责信息平安管理制度的制定和发布
B.谁负责都督信息平安制度的执行
C.信息系统发生灾难后,进展恢复工作的具体流程&
D.如果违反了制度可能受到的惩戒措施
70.一上组织财务系统灾难恢复方案声明恢复点目标〔RPO〕是没有数据损失,恢复时间目标〔RTO〕是72小时。
以下哪一技术方案是满足需求且最经济的?
A.一个可以在8小时用异步事务的备份日志运行起来的热站
B.多区域异步更新的分布式数据库系统
C.一个同步更新数据和主备系统的热站
D.一个同步过程数据拷备、可以48小时运行起来的混站
71.以下哪一种数据告缺方式可以保证最高的RPO要求:
A.同步复制
B.异步复制
C.定点拷贝复制
D.基于磁盘的复制
72.当公司计算机网络受到攻击,进展现场保护应当:
1〉指定可靠人员看守
2〉无特殊且十分必须原因制止任何人员进出现场
3〉应采取措施防人为地删除或修改现场计算机信息系统保存的数据和其他电子痕迹
4〉无行列且十分必须原因制止任何人员接触现场计算机
A.1,2
B.1,2,3
C.2,3
D.1,2,3,4&
73.有一些信息平安事件是由于信息系统中多个局部共同作用造成的,人们称这类事件为“多组件事故〞,应对这类平安事件最有效的方法是:
A.配置网络入侵检测系统以检测某些类型的或误用行为
B.使用防病毒软件,并且保持更新为最新的病毒特征码
C.将所有公共访问的效劳放在网络非军事区〔DMZ〕
D.使用集中的日志审计工具和事件关联分析软件
74.以下哪项是基于系统的输入、输出和文件的数目和复杂性测量信息系统的大小?
A.功能点〔FP〕
B.方案评价与审查技术〔PERT〕
C.快速应用开发〔RAD〕
D.关键路径方法〔CPM〕
75.下面哪一项为系统平安工程能力成熟度模型提供了评估方法?
A.ISSE
B.SSAM
C.SSR
D.CEM
76.一个组织的系统平安能力成熟度模型到达哪个级别以后,就可以考虑为过程域〔PR〕的实施提供充分的资源?
A.2级――方案和跟踪
B.3级――充分定义
C.4级――最化控制
D.5级――持续改良
77.IT工程建立与IT平安工程建立脱节是众多平安风险涌现的根源,同时平安风险也越来越多地表达在应用层。
因此迫切需要加强对开发阶段的平安考虑,特别是要加强对数据平安性的考虑,以下哪项工作是在IT工程的开发阶段不需要重点考虑的平安因素?
A.操作系统的平安加固
B.输入数据的校验
C.数据处理过程控制
D.输出数据的验证
1A
2C
3D
4C
5B
6B
7D
8B
9A
10D
11C
12D
13A
14D
15D
16D
17C
18A
19B
20C
21D
22A
23B
24B
25C
26D
升级会员 