新版CISP重要试题216Word文件下载.docx
《新版CISP重要试题216Word文件下载.docx》由会员分享,可在线阅读,更多相关《新版CISP重要试题216Word文件下载.docx(14页珍藏版)》请在冰豆网上搜索。
信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
B.信息安全管理和工程:
信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。
C.信息安全人才体系:
在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分。
D.信息安全技术方案:
“从外而内、自下而上、形成边界到端的防护能力”。
11.如图,某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪一类:
A.个人网银系统和用户之间的双向鉴别B.由可信第三方完成的用户身份鉴别
C.个人网银系统对用户身份的单向鉴别D.用户对个人网银系统合法性的单向鉴别
12.如下图所示,Alice用Bob的密钥加密明文,将密文发送给Bob。
Bob再用自己的私钥解密,恢复出明文。
以下说法正确的是:
A.此密码体制为对称密码体制B.此密码体制为私钥密码体制C.此密码体制为单钥密码体制D.此密码体制为公钥密码体制
13.下列哪一种方法属于基于实体“所有”鉴别方法:
A.用户通过自己设置的口令登录系统,完成身份鉴别B.用户使用个人指纹,通过指纹识别系统的身份鉴别
C.用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份鉴别
D.用户使用集成电路卡(如智能卡)完成身份鉴别
14.为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景
中用到下列哪些鉴别方法?
A.实体“所知”以及实体“所有”的鉴别方法B.实体“所有”以及实体“特征”的鉴别方法C.实体“所知”以及实体“特征”的鉴别方法D.实体“所有”以及实体“行为”的鉴别方法
15.某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多16.软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错误的?
A.告诉用户需要收集什么数据及搜集到的数据会如何披使用B.当用户的数据由于某种原因要被使用时,给用户选择是否允许C.用户提交的用户名和密码属于稳私数据,其它都不是D.确保数据的使用符合国家、地方、行业的相关法律法规17.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思
想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。
在以下软件安全开发策略中,不符合软件安全保障思想的是:
A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D.在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行18.以下哪一项不是工作在网络第二层的隧道协议:
A.VTPB.L2FC.PPTPD.L2TP
19.如圈所示,主体S对客体01有读(R)权限,对客体02有读(R)、写(W)、拥有(Own)权限,该图所示的访问控制实现方法是:
A.访问控制表(ACL)B.访问控制矩阵C.能力表(CL)D.前缀表(Profiles)
20.以下场景描述了基于角色的访问控制模型(Role-basedAccessControl.RBAC):
根据组织的业务要求或管理要求,在业务系统中设置若干岗位、职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。
关于RBAC模型,下列说法错误的是:
A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝
B.业务系统中的岗位、职位或者分工,可对应RBAC模型中的角色C.通过角色,可实现对信息资源访问的控制D.RBAC模型不能实现多级安全中的访问控制21.下面哪一项不是虚拟专用网络(VPN)协议标准:
A.第二层隧道协议(L2TP)B.Internet安全性(IPSEC)
C.终端访问控制器访问控制系统(TACACS+)D.点对点隧道协议(PPTP)
22.下列对网络认证协议(Kerberos)描述正确的是:
A.该协议使用非对称密钥加密机制
B.密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成
C.该协议完成身份鉴别后将获取用户票据许可票据D.使用该协议不需要时钟基本同步的环境
23.鉴别的基本途径有三种:
所知、所有和个人特征,以下哪一项不是基于你所知道的:
A.口令B.令牌C.知识D.密码
24.在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A.加密B.数字签名C.访问控制D.路由控制
25.某公司已有漏洞扫描和入侵检测系统(IntrusienDetectionSystem,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是:
A.选购当前技术最先进的防火墙即可B.选购任意一款品牌防火墙
C.任意选购一款价格合适的防火墙产品D.选购一款同已有安全产品联动的防火墙
26.在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提供了保密性、身份鉴别、数据完整性服务?
A.网络层B.表示层C.会话层D.物理层
27.某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则?
A.最小权限B.权限分离C.不信任D.纵深防御
28.以下关于互联网协议安全(InternetProtocolSecurity,IPsec)协议说法错误的是:
A.在传送模式中,保护的是IP负载
B.验证头协议(AuthenticationHead,AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload,ESP)都能以传输模式和隧道模式工作
c.在隧道模式中,保护的是整个互联网协议(InternetProtocol,IP)包,包括IP头
D.IPsec仅能保证传输数据的可认证性和保密性
29.某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?
A.网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度B.网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
C.网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D.网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息30.以下关于PGP(PrettyGoodPrivacy)软件叙述错误的是:
A.PGP可以实现对邮件的加密、签名和认证B.PGP可以实现数据压缩C.PGP可以对邮件进行分段和重组
D.PGP采用SHA算法加密邮件
31.入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与IDS有着许多不同点,请指出下列哪一项描述不符合IPS的特点?
A.串接到网络线路中
B.对异常的进出流量可以直接进行阻断C.有可能造成单点故障D.不会影响网络性能
32.相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势?
A.NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等闯题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作
B.NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限C.对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率D.相比FAT文件系统,NTFS文件系统能有效的兼容linux下EXT2文件格式
33.某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
A.在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中
B.严格设置Web日志权限,只有系统权限才能进行读和写等操作C.对日志属性进行调整,加大日志文件大小、延长日志覆盖时间、设置记录更多信息等
D.使用独立的分区用于存储日志,并且保留足够大的日志空间34.关于linux下的用户和组,以下描述不正确的是。
A.在linux中,每一个文件和程序都归属于一个特定的“用户”B.系统中的每一个用户都必须至少属于一个用户组
C.用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于多个组
D.root是系统的超级用户,无论是否文件和程序的所有者都具有访问权限
35.安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
A.操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
B.为了方便进行数据备份,安装Windows操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘
C.操作系统上部署防病毒软件,以对抗病毒的威胁
D.将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能
36.在数据库安全性控制中,授权的数据对象,授权子系统就越灵活?
A.粒度越小B.约束越细致C.范围越大D.约束范围大
37.下列哪一些对信息安全漏洞的描述是错误的?
A.漏洞是存在于信息系统的某种缺陷。
B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)。
C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。
D.漏洞都是人为故意引入的一种信息系统的弱点
38.账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?
A.分布式拒绝服务攻击(DDoS)B.病毒传染C.口令暴力破解D.缓冲区溢出攻击
39.数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是:
A.传输层、网络接口层、互联网络层B.传输层、互联网络层、网络接口层C.互联网络层、传输层、网络接口层D.互联网络层、网络接口层、传输层
40.以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?
A.ARP协议是一个无状态的协议B.为提高效率,ARP信息在系统中会缓存C.ARP缓存是动态的,可被改写D.ARP协议是用于寻址的一个重要协议
41.张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些欺骗消息。
该攻击行为属于以下哪类攻击?
A.口令攻击B.暴力破解C.拒绝服务攻击D.社会工程学攻击
42.关于软件安全开发生命周期(SDL),下面说法错误的是:
A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术、管理和工程等手段C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件
开发成本
43.在软件保障成熟度模型(SoftwareAssuranceMaturityldode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能:
A.治理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动C.验证,主要是测试和验证软件的过程与活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动&
部署
44.从系统工程的角度来处理信息安全问题,以下说法错误的是:
A.系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。
B.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。
C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。
45.小王是某大学计算科学与技术专业的毕业生,大四上学期开始找
工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识,小王的主要观点包括:
(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备;
(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果;
(3)背景建立包括:
风险管理准备、信息系统调查、信息系统分析和信息安全分析;
(4)背景建立的阶段性成果包括:
风险管理计划书、信息系统的描述报告、信息系统的分析报告、
信息系统的安全要求报告。
请问小王的所述论点中错误的是哪项:
A.第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象
B.第二个观点,背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准
C.第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字
D.第四个观点,背景建立的阶段性成果中不包括有风险管理计划书46.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(BasePractices,BP),正确的理解是:
A.BP是基于最新技术而制定的安全参数基本配置B.大部分BP是没有经过测试的
C.一项BP适用于组织的生存周期而非仅适用于工程的某一特定阶段
D.一项BP可以和其他BP有重叠
47.以下哪一种判断信息系统是否安全的方式是最合理的?
A.是否己经通过部署安全控制措施消灭了风险B.是否可以抵抗大部分风险
C.是否建立了具有自适应能力的信息安全模型D.是否已经将风险控制在可接受的范围内
48.以下关于信息安全法治建设的意义,说法错误的是:
A.信息安全法律环境是信息安全保障体系中的必要环节
B.明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动
C.信息安全主要是技术问题,技术漏洞是信息犯罪的根源D.信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
49.小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:
核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预期损失为多少:
A.24万B.0.09万C.37.5万D.9万
50.XXXX年4月1日正式施行的《电子签名法》,被称为个“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。
以下关于电子签名说法错误的是:
A.电子签名——是指数据电文中以电子形式所含、所附用于识别签名b人身份并表明签名人认可其中内容的数据
B.电子签名适用于民事活动中的合同或者其他文件、单证等文书C.电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务D答案错
51.风险管理的监控与审查不包含:
A.过程质量管理B.成本效益管理
C.跟踪系统自身或所处环境的变化D.协调内外部组织机构风险管理活动
52.信息安全等级保护分级要求,第三级适用正确的是:
A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济设和公共利益
B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害
C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和
信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害
D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。
其受到破坏后,会对国家安全、社会秩序,经济建设和公共利益造成特别严重损害
53.下面哪一项安全控制措施不是用来检测XX的信息处理活动的:
A.设置网络连接时限B.记录并分析系统错误日志C.记录并分析用户和管理员操作日志D.启用时钟同步
54.有关危害国家秘密安全的行为的法律责任,正确的是:
A.严重违反保密规定行为只要发生,无论是否产生泄密实际后果,都要依法追究责任
B.非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任C.过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任D.承担了刑事责任,无需再承担行政责任和/或其他处分55.以下对于信息安全事件理解错误的是:
A.信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
B.对信息安全事件进行有效管理和响应,最小化事件所造成的损失
和负面影响,是组织信息安全战略的一部分C.应急响应是信息安全事件管理的重要内容
D.通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生
56.假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备:
A.是多余的,因为它们完成了同样的功能,但要求更多的开销B.是必须的,可以为预防控制的功效提供检测C.是可选的,可以实现深度防御
D.在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制的功能已经足够
57.关于我国加强信息安全保障工作的主要原则,以下说法错误的是:
A.立足国情,以我为主,坚持技术与管理并重
B.正确处理安全和发展的关系,以安全保发展,在发展中求安全C.统筹规划,突出重点,强化基础工作
D.全面提高信息安全防护能力,保护公众利益,维护国家安全58.以下哪一项不是信息安全管理工作必须遵循的原则?
A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
C.由于在系统投入使用后部署和应用风险控制措施针对性会更强,
实施成本会相对较低
D.在系统正式运行后,应注重残余风险的管理,以提高快速反应能力
59.《信息安全技术信息安全风险评估规范GB/TXXXX年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。
A.全国通信标准化技术委员会(TC485)B.全国信息安全标准化技术委员会(TC260)C.中国通信标准化协会(CCSA)D.网络与信息安全技术工作委员会
工程等分别规划实施
D.SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
83.下面关于信息系统安全保障的说法不正确的是:
A.信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关
B.信息系统安全保障要素包括信息的完整性、可用性和保密性C.信息系统安全需要从技术、工程、
升级会员 