9Cisp自测题.docx
《9Cisp自测题.docx》由会员分享,可在线阅读,更多相关《9Cisp自测题.docx(20页珍藏版)》请在冰豆网上搜索。
9Cisp自测题
1、信息安全发展各阶段中,下面哪一项是通信安全阶段主要制约的安全威胁?
A、病毒B、非法访问C、信息泄露D、脆弱口令
2、人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:
A、为了更好地完成组织机构的使命
B、针对信息系统的攻击方式发生重大变化
C、风险控制技术得到革命性的发展
D、除了保密性,信息的完整性和可用性也引起了人们的关注
3、关于信息保障技术框架(IATF),下列哪种说法是错误的?
A、IATF强调深度防御(Defense—in-Depth),关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障
B、IATF强调深度防御(Defense-in—Depth),即对信息系统采用多层防护,实现组织的业务安全运作;
C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全;
D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全
4、依据国家标准GB/T20274《信息系统安全保障评估框架》,安全环境指的是:
A、组织机构内部相关的组织、业务、管理策略
B、所有的与信息系统安全相关的运行环境,如已知的物理部署
C、国家的法律法规、行业的政策、制度规范等
D、以上都是
5、以下关于信息系统安全保障是主观和客观的结合说法错误的是:
A、通过在技术、管理、工程和人员方面客观的评估安全保障措施,向信息系统的拥有者提供其现有安全保障工作是否满意满足其安全保障目标的信心
B、信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理,安全过程和人员安全等;以全面保障信息系统安全
C、是一种通过客观证据向信息系统所有者提供主观信心的活动;
D、是主观和客观综合评价的结果
6、下列对于密钥生命周期的说法,错误的是:
A、密钥生命周期越长,其泄露的机会越大
B、密钥超过生命周期后就失去了价值,可以公开
C、密钥生命周期应该同密钥保护数据的价值联系起来
D、公钥密码体制中的公钥—私钥对应该定期更换
7、hash算法的碰撞是指:
A、两个不同的消息,得到相同的消息摘要
B、两个相同的消息,得到不同的消息摘要
C、消息摘要和消息的长度相同
D、消息摘要比消息长度更长
8、ALICE从sue那里收到一个发给她的密文,其他人无法解密这个密文,ALICE需要用哪个密钥来解密这个密文?
A、ALICE的公钥B、ALICE的私钥
C、SUE的公钥D、SUE的私钥
9、当一个网段下的几个用户想互相传送一些机密文件但他们又没有一个共同的密钥,以下哪种方法可以提供密钥分配和数据保密性且效率高?
A、使用公钥加密算法安全的交换一个安全的组密钥,然后用这个组密钥和对称加密算法加密
B、使用传统加密算法安全的交换一个安全的组密钥,然后用这个组密钥和公钥加密算法加密
C、使用收方的公钥加密,使用收方的私钥解密
D、使用带有硬件加密加速器协助的软件加密
10、时间戳的引入主要是为了防止:
(ciso)
A、死锁B、丢失C、重放D、拥塞
11、下列哪个选项是公钥基础设施(PKI)的密钥交换处理流程?
(1)、接收者解密并获取会话密钥
(2)、发送者请求接收者得公钥
(3)、公钥从公钥目录中被发送出去
(4)、发送者发送一个由接收者的公钥加密过的会话密钥
A、4、3、2、1
B、2、1、3、4
C、2、3、4、1
D、2、4、3、1
12、IPSEC密钥协商方式有:
A、一种,手工方式
B、二种,手工方式,IKE自动协商
C、一种,IKE自动协商
D、二种,IKE自动协商,隧道协商
13、以下哪一项不是工作在网络第二层的隧道协议:
A、VTPB、L2FC、PPTPD、L2TP
14、与PDR模型相比,P2DR模型多了哪一个环节?
A、防护B、检测C、反应D、策略
15、以下关于K&AC模型说法正确的是:
A、该模型的隐藏用户所担任的角色和安全线来决定用户在系统中的访问权限
B、一个用户必须扮演并激活某种角色,才能对一个对象进行访问或执行某种操作
C、在该模型中,每个用户只能有一个角色
D、在该模型中,权限与用户关联,用户与角色关联
16、按照BLP模型规则,以下哪种访问不能被授权:
A、Bob的安全级(机密,{NUC,EUR}),文件的安全.。
。
。
。
。
.。
Bob请求写该文件
B、Bob的安全级(机密,{NUC,EUR}),文件的安全.。
。
.。
.。
。
文件
C、Alice的安全级是(机密,{NUC,EUR}),文件的安全..求写该文件
D、Alice的安全级是(机密,{NUC,EUR}),文件的安全.。
读该文件
17、访问控制表与访问能力表相比,具有以下那个特点:
A、访问控制表更容易实现访问权限的特点
B、访问能力表更容易浏览访问权限
C、访问控制表回收访问权限更困难
D、访问控制表更适用于集中式系统
18、安全审计是对系统活动和记录的独立检查和验证,以下哪一项
A、辅助辨别和分析XX的活动或攻击
B、对与已建立的安全策略的一致性进行核查
C、及时阻断违反安全策略的访问
D、帮助发现需要改进的安全控制措施
19、以下对单点登录技术描述不正确的是:
A、单点登录技术实质是安全凭证在多个用户之间的传递成共享
B、使用单点登录技术用户只需在登录时进行一次
C、单点登录不仅方便用户使用,而且也便于管理
D、使用单点登录技术能简化应用系统的开发
20、鉴别的基本途径有三种:
所知、所有和个人特征,以下哪一项
A、口令B、令牌C、知识D、密码
21、系统审计日志不包括以下哪一项:
A、时间戳B、用户标识C、对象标识D、处理结果
22、以下哪一项不是审计措施的安全目标:
A、发现试图绕过系统安全机制的访问
B、记录雇员的工作效率
C、记录对访问客体采用的访问方式
D、发现越权的访问行为
23、以下对RADIUS协议说法正确的是:
A、它是一种B/S结构的协议
B、它是一项通用的认证计费协议
C、它使用TCP通信
D、它的基本组件包括认证、授权和加密
24、UDP协议和TCP协议对应于ISO/OSI模型的哪一层?
A、链路层B、传输层C、会话层D、表示层
25、路由器的扩展访问控制列表能够检查流量的那些基本信息?
A、协议,vtanid,源地址,目标地址
B、协议,vianid,源端口,目标端口
C、源地址,目地地址,源端口,目标端口,协议
D、源地址,目地地址,源端口,目标端口,交换机端口号
26、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行控制?
A、ICMPB、IGMPC、ARPD、SNMP
27、TCP采用第三次握手来建立一个连接,第二次握手传输什么信息:
A、SYNB、SYN+ACKC、ACKD、FIN
28、通常在设计VLAN时,以下哪一项不是VLAN的规划方法?
A、基于交换机端口B、基于网络传输层
C、基于MAC地址D、基于数字证书
29、某个客户的网络现在可以正常访问Internet互联网,共有200台终端PC但此客户从ISP(互联网服务提供商)里只获得了16个公有的IPv4地址,最多也只有16台PC可以访问互联网,要让这200台终端PC访问Internet互联网最好采取什么方法或技术:
A、花更多的钱向ISP申请更多的IP地址
B、在网络的出口路由器上做源NAT
C、在网络的出口路由器上做目的NAT
D、在网络出口处增加一定数量的路由器
30、以下哪个一个项对“ARP”的解释是正确的:
A、Accseeroutingprotocol—-——访问路由协议
B、Accseeroutingprotocol———-访问解析协议
C、Addressresolutionprotocol—地址解析协议
D、Addressrecoveryprotocol—地址恢复协议
31、下面对于X。
25协议的说法错误的是?
A、传输速率可达到56Kbps
B、其优点是反复的错误校验颇为费时
C、其缺点是反复的错误校验颇为费时
D、由于它与TCP/IP协议相比处于劣势,所以渐渐被后者淘汰
32、下列对于DMZ区的说法错误的是:
A、它是网络安全防护的一个“非军事区”
B、它是对“深度防御”概念的一种实现方案
C、它是一种比较常用的网络安全域划分方式
D、要想搭建它至少需要两台防火墙
33、哪一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问连续的能力?
A、包过滤防火墙B、状态监测防火墙
C、应用网关防火墙D、以上都不是
34、以下哪一项不属于入侵检测系统的功能:
A、监视网络上的通信数据流
B、捕捉可疑的网络活动
C、提供安全审计报告
D、拉拢非法的数据包
35、下面哪一项不是通用IDS模型的组成部分:
A、传感器B、过滤器C、分析器D、管理器
36、下面哪一项是对IDS的正确描述?
A、基于特征(signa.re-nased)的系统可以检测新的攻击类型
B、基于特征(signa.re—nased)的系统比基于行为(behavice-nased)的系统产生更多的议报
C、基于行为(behavice-nased)的系统维护状态数据库来与数据包的攻击相匹配
D、基于行为(behavice—nased)的系统比基于特征(signa。
re-nased)的系统有更高的误报
37、可信计算技术不能:
A、确保系统具有免疫能力、从根本上阻止病毒和黑客等软件的攻击
B、确保密钥操作和存储的过程
C、确保硬件环境配置、操作系统内核、服务及应用程序的完整性
D、使计算机具有更高的稳定性
38、CHmod744test命令执行的结果是:
111100100
A、test文件的所有者具有执行读写权限,文件对所属的编辑其它用户有读的权限
B、test文件的所有者具有执行读写和执行权限,文件对所属的编辑其它用户有读的权限
C、test文件的所有者具有执行读和执行权限,文件对所属的编辑其它用户有读的权限
D、test文件的所有者具有执行读写和执行权限,文件对所属的编辑其它用户有读和写的权限
39、Linux系统的用户信息保存在passwd中,某用户条目
Backup:
*:
34:
34:
backup:
/var/backups:
/bin/sn,以下关于该账号的描述不正确的是:
A、bcakup账号没有设置登录密码
B、bcakup账号的默认主目录是/var/backups:
/
C、bcakup账号登录后使用的shell是/bin/sn
D、bcakup账号是无法进行登录
40、以下对windows账号描述,正确的是:
A、windows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限
B、windows系统是采用用户名来标识用户对文件或文件夹的权限
C、windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和解除
D、windows系统默认会生成administration和guest两个账号,两个账号都可以改名和解除
41、以下对于Windows系统的服务描述,正确的是:
A、windows服务必须是一个独立的可执行程序
B、windows服务的运行不需要用户的交互登录
C、windows服务都是随系统的启动而启动,无需用户进行干预
D、windows服务都需要用户进行登录后,以登录用户的权限进行启动
42、以下那个对windows系统日志的描述是错误的?
A、windows系统默认有三个日志,系统日志、应用程序日志、安全日志
B、系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器
C、应用日志跟踪应用程序关联的事件,例如应用程序的产生的装载DLL(动态链接库)失败
D、安全日志跟踪各类网络入侵事件,例如拒绝服务攻击,口令暴力破解等
43、专门负责数据库管理和维护的计算机软件系统称为:
A、SQL—MSB、INFERENCECONTROL
C、DBMSD、TRIGGER—MS
44、数据库事务日志的用途是什么:
A、事务处理B、数据恢复
C、完整性约束D、保密性控制
45、以下哪一项不是SQL语言的功能:
A、数据定义B、数据查询C、数据操纵D、数据加密
46、以下哪一项是和电子邮件系统无关的?
A、PEMB、PGPC、X500D、X400
47、下面对于cookie的说法错误的是:
A、cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息
B、cookie可以存储一些敏感的用户信息,从而造成一定的安全风险
C、通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗
D、防范cookie欺骗的一个有效方法是不使用cookie验证方法,而使用session验证方法
48、电子商务务安全要求的四个方面是:
A、传输的高效性、数据的完整性,交易各方的身份认证和交易的不可抵赖性
B、存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证
C、传输的安全性、数据的完整性、交易各方的身份认证和交易不可抵赖性
D、存储的安全性,传输的高效性,数据的完整性和交易的不可抵赖性
49、Java安全模型(JSM)是在设计虚拟机(JVN)时,引入沙箱(sandbox)机制,其主要目的是:
A、为服务器提供针对恶意客户端代码的保护
B、为客户端程序提供针对用户输入恶意代码的保护
C、为用户提供针对恶意网络移动代码的保护
D、提供事件的可追查性
50、以下那个是恶意代码采用的隐藏技术
A、文件隐藏B、进程隐藏C、网络连续隐藏D、以上都是
51、下列哪种技术不是恶意代码的生存技术?
A、反跟踪技术B、加密技术C、模糊变换技术D、自动解压缩技术
52、以下对于蠕虫病毒的说法错误的是:
A、通常蠕虫的传播无需用户的操作
B、蠕虫病毒的主要危害体现在对数据保密性的破坏
C、蠕虫的工作原理与病毒相似,除了没有感染文件阶段
D、是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序
53、被以下那种病毒感染后,会使计算机产生下列现象,系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统的反复重启,不能收发邮件,不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。
A、高波变种3TB、冲击波C、震荡波D、尼姆达病毒
54、当用户输入的数据被一个解释器当做命令或查询语句的一部分执行时,就会产生什么样的后果?
A、缓冲区溢出B、设计错误C、信息泄露D、代码注入
55、下面对漏洞出现在软件开发的各个阶段的说法中错误的是?
A、漏洞可以在设计阶段产生
B、漏洞可以在实现过程中产生
C、漏洞可以在运行过程中产生
D、漏洞可以在验收过程中产生
56、DNS欺骗是发生在TCP/IP协议中______层的问题
A、网络接口层B、互联网网络层C、传输层D、应用层
57、IP欺骗(IPSpoof)是发生在TCP/IP协议中_____层的问题
A、网络接口层B、互联网网络层C、传输层D、应用层
58、分片攻击问题发生在
A、数据包被发送时
B、数据包在传输过程中
C、数据包被接收时
D、数据包中的数据进行重组时
59、下面关于软件测试的说法错误的是:
A、所谓“黑盒”测试就是测试过程不测试报告中的进行描述,切对外严格保密
B、出于安全考虑,在测试过程中尽量不要使用真实的生产数据
C、测试方案和测试结果应当成为软件开发项目文档的主要部分被妥善的保存
D、软件测试不仅应关注需要的功能是否可以被实现,还要注意是否有不需要的功能被实现了
60、传统软件开发方法无法有效解决软件安全缺陷问题的原因是:
A、传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护五个阶段
B、传统的软件开发方法,注重软件功能实现和保证,缺乏对安全问题进行的处理的任务、里程碑与方法论,也缺乏定义对安全问题的控制与检察环节
C、传统的软件开发方法,将软件安全定义为编码安全,力图通过规范编码解决安全问题,缺乏全面性
D、传统的软件开发方法仅从流程上规范软件开发过程,缺乏对人员的培训要求,开发人员是软件安全缺陷产生的根源
61、对攻击面(AFFACKSURFACE)的正确定义是:
A、一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低
B、对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大
C、一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大
D、一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大
62、下面对PDCA模型的解释不正确的是:
A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动
B、是一种可以应用于信息安全管理活动持续改进的有效实践方法
C、也被称为“戴明环”
D、适用于对组织整体活动的优化,不适合单个的过程以及个人
63、下面关于ISO27002说法错误的是:
A、ISO27002的前身是ISO17799—1
B、ISO27002给出了通常意义的下的信息安全管理最佳实践供组织机构选用,但不是全部
C、ISO27002对于每个控制措施的表述分“控制措施”,“实施指南”和“其他信息”三个部分来进行描述
D、ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施
64、下面选项中对于“风险管理”的描述不正确的是:
A、风险管理是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通
B、风险管理的目的是了解风险并采取措施处置风险并将风险清除
C、风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作,信息系统的整个生命周期中。
D、在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标.
65、在信息安全领域,风险的四要素是指:
A、资产及其价值、威胁、脆弱性、现有的和计划的控制措施
B、资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施
C、完整性、可用性、机密性、不可抵赖性
D、减低风险、转嫁风险、规避风险、接受风险
66、在信息安全风险管理体系中分哪五个层面
A、决策层、管理层、执行层、支持层、用户层
B、决策层、管理层、建设层、维护层、用户层
C、管理层、建设层、运行层、支持层、用户层
D、决策层、管理层、执行层、监控层、用户层
67、在风险管理工作中“监控审查”的目的。
一是_______;二是________
A、保证风险管理过程的有效性,保证风险管理成本的有效性
B、保证风险管理结果的有效性,保证风险管理成本的有效性
C、保证风险管理过程的有效性,保证风险管理活动的决定得到认可
D、保证风险管理结果的有效性,保证风险管理活动的决定得到认可
68、下列安全控制措施的分类中,哪个分类是正确的(P-预防性的,D—检测性的以及C-纠正性的控制)
1、网络防火墙2、编辑和确认程序3、账户应付支出报告
4、账户应付对账5、RAID级别36、银行账单的监督复审
7、分配计算机用户标识8、交易日志
A、p,p,d,p,p,c,d,andc
B、d,p,p,p,c,c,d,andd
C、p,p,d,d,c,d,p,andc
D、p,d,c,c,d,p,p,andd
69、信息安全风险评估分为自评估和检查评估两种形式,下列描述不正确的是:
A、信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
B、信息评估可在自评估实施的基础上,对关键环节或重点内容实施抽样评估
C、检查评估也可委托风险评估服务技术支持方实施,评估结果仅对检查评估的发起单位负责
D、检查评估委托信息系统上。
。
。
开展的风险评估
70、某公司正在对一台关键业务服务器进行风险评估,该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生一次,根据以上信息,该服务器的年度预期损失值(ALE)是多少?
A、1800元B、62100元C、140000元D、6210元
71、下列哪些内容应包含在信息系统战略计划中?
A、已规划的硬件采购的规范
B、将来业务目标的分析
C、开发项目的目标日期
D、信息系统不同的年度预算目标
72、以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解?
A、外来人员在进行系统维护时没有收到足够的监控
B、一个人拥有了不是其完成工作所必要的权限
C、敏感岗位和重要操作长期有一个人独立负责
D、员工由一个岗位变动到另一个岗位,累积越来越多的权限
73、ISO27002中描述的11个信息安全管理控制领域不包括:
A、信息安全组织B、资产管理C、内容安全D、人力资源安全
74、一个组织财务系统的灾难恢复计划声明恢复点目标(rpo)是没有数据损失,恢复时间目标(rto)是72小时,以下哪一技术方案是满足需求且最经济的?
A、一个可以在8小时内用异步事物的备份日志运行起来的热战
B、多区域异步更新的分布式数据库系统
C、一个同步更新数据和主备系统的热战
D、一个同步远程数据拷贝、可以48小时内运行起来的温站
75、以下哪一种备份方式在恢复时间上最快?
A、增量备份B、差异备份C、完全备份D、磁盘备份
76、计算机应急响应小组的名称是:
A、CERTB、FIRSTC、SANAD、CEAT
77、下列哪项不是信息系统的安全工程的能力成熟度模型(SSE—CMM)的主要过程:
A、风险评估B、保证过程C、工程过程D、评估过程
78、SSE-CMM工程过程区域中的风险过程包含哪些过程区域:
A、评估威胁、评估脆弱性、评估影响
B、评估威胁、评估脆弱性、评估安全风险
C、评估威胁、评估脆弱性、评估影响、评估安全风险
D、评估威胁、评估脆弱性、评估影响、验证和证实安全
79、信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作:
A、明确业务对信息安全的要求
B、识别来自法律法规的安全要求
C、论证安全要求是否正确完整
D、通过测试证明系统的功能和性能可以满足安全要求
80、信息化建设和信息安全建设的关系应当是:
A、信息化建设的结束就是信息安全建设的开始
B、信息化建设和信息安全建设应同步规划、同步实施
C、信息化建设和信息
升级会员 