注册信息安全专业人员CISOCISE通用版真题精选.docx
《注册信息安全专业人员CISOCISE通用版真题精选.docx》由会员分享,可在线阅读,更多相关《注册信息安全专业人员CISOCISE通用版真题精选.docx(15页珍藏版)》请在冰豆网上搜索。
注册信息安全专业人员CISOCISE通用版真题精选
注册信息安全专业人员(CISO、CISE通用版)真题精选
[单项选择题]
1、下列哪种类型的IDS能够监控网络流量中的行为特征,并能够创建新的数据库?
()
A.基于特征的IDS
B.基于神经网络的IDS
C.基于统计的IDS
D.基于主机的IDS
参考答案:
B
[单项选择题]
2、某单位在评估生物识别系统时,对安全性提出了非常高的要求。
据此判断,下列哪一项技术指标对于该单位来说是最重要的?
()
A.错误接收率(FAR)
B.平均错误率(EER)
C.错误拒绝率(FRR)
D.错误识别率(FIR)
参考答案:
A
[单项选择题]
3、数据库管理员在检查数据库时发现数据库的性能不理想,他准备通过对部分数据表实施去除规范化(denormanization)操作来提高数据库性能,这样做将增加下列哪项风险?
()
A.访问的不一致
B.死锁
C.对数据的非授权访问
D.数据完整性的损害
参考答案:
D
[单项选择题]
4、为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成?
()
A.确保风险评估过程是公平的
B.因为风险正是由于这些来自不同部门的人员所引起的,因此他们应该承担风险评估的职责
C.因为不同部门的人员对本部门所面临的风险最清楚,由此进行的风险评估也最接近于实际情况
D.风险评估团队不应该由来自不同部门的人员组成,而应该由一个来自公司外部的小型团队组成
参考答案:
C
[单项选择题]
5、某公司正在对一台关键业务服务器进行风险评估:
该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。
根据以上信息,该服务器的年度预期损失值(ALE)是多少?
()
A.1800元
B.62100元
C.140000元
D.6210元
参考答案:
D
[单项选择题]
6、当一个关键文件服务器的存储增长没有被合理管理时,以下哪一项是最大的风险?
()
A.备份时间会稳定增长
B.备份成本会快速增长
C.存储成本会快速增长
D.服务器恢复工作不能满足恢复时间目标(RTO)的要求
参考答案:
D
[单项选择题]
7、在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?
()
A.C2
B.C1
C.B2
D.B1
参考答案:
D
[单项选择题]
8、VPN为相关企业解决很大问题,哪一项VPN实现不了?
()
A.节约成本
B.保证数据安全性
C.保证网络安全性
D.对VPN内数据进行加密
参考答案:
C
[多项选择题]
9、属于DDOS攻击的是:
()
A.SynFlood
B.Trinoo
C.Stacheldraht
D.FunTimeApocalypse
参考答案:
B,C,D
[单项选择题]
10、依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是()
A.信息系统安全保障目的
B.环境安全保障目的
C.信息系统安全保障目的和环境安全保障目的
D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
参考答案:
D
[单项选择题]
11、公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。
下面说法哪个是错误的()
A.乙对信息安全不重视,低估了黑客能力,不舍得花钱
B.甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费
C.甲未充分考虑网游网站的业务与政府网站业务的区别
D.乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求
参考答案:
A
[单项选择题]
12、与PDR模型相比,P2DR模型多了哪一个环节?
()
A.防护
B.检测
C.反应
D.策略
参考答案:
D
[单项选择题]
13、2008年1月2日,美目发布第54号总统令,建立国家网络安全综合计划(ComprehensiveNationalCybersecurityInitiative,CNCI)。
CNCI计划建立三道防线:
第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁;第三道防线,强化未来安全环境.从以上内容,我们可以看出以下哪种分析是正确的()
A.CNCI是以风险为核心,三道防线首要的任务是降低其网络所面临的风险
B.从CNCI可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的
C.CNCI的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状,而不是在现在的网络基础上修修补补
D.CNCI彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保障重点,而是追求所有网络和系统的全面安全保障
参考答案:
A
[单项选择题]
14、如下图所示,Alice用Bob的密钥加密明文,将密文发送给Bob。
Bob再用自己的私钥解密,恢复出明文。
以下说法正确的是()
A.此密码体制为对称密码体制
B.此密码体制为私钥密码体制
C.此密码体制为单钥密码体制
D.此密码体制为公钥密码体制
参考答案:
D
[单项选择题]
15、某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
()
A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高
C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
参考答案:
A
[单项选择题]
16、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。
在以下软件安全开发策略中,不符合软件安全保障思想的是()
A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D.在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行
参考答案:
A
参考解析:
A项在立项时预留安全评审相关费用属于过度安全防范,可能造成间接损失,不符合软件安全保障思想。
[单项选择题]
17、如图所示,主体S对客体01有读(R)权限,对客体02有读(R)、写(W)、拥有(Own)权限,该图所示的访问控制实现方法是()
A.访问控制表(ACL)
B.访问控制矩阵
C.能力表(CL)
D.前缀表(Profiles)
参考答案:
C
[单项选择题]
18、下列对网络认证协议(Kerberos)描述正确的是()
A.该协议使用非对称密钥加密机制
B.密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成
C.该协议完成身份鉴别后将获取用户票据许可票据
D.使用该协议不需要时钟基本同步的环境
参考答案:
C
[单项选择题]
19、在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
()
A.加密
B.数字签名
C.访问控制
D.路由控制
参考答案:
B
[单项选择题]
20、在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提是用户与网络的接口?
()
A.网络层
B.表示层
C.应用层
D.物理层
参考答案:
C
参考解析:
应用层:
应用层是OSI参考模型的最高层,是用户与网络的接口。
[单项选择题]
21、以下关于互联网协议安全(InternetProtocolSecurity,IPsec)协议说法错误的是()
A.在传送模式中,保护的是IP负载
B.验证头协议(AuthenticationHead,AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload,ESP)都能以传输模式和隧道模式工作
C.在隧道模式中,保护的是整个互联网协议(InternetProtocol,IP)包,包括IP头
D.IPsec仅能保证传输数据的可认证性和保密性
参考答案:
D
更多内容请访问《睦霖题库》微信公众号
[单项选择题]
22、入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与IDS有着许多不同点,请指出下列哪一项描述不符合IPS的特点?
()
A.串接到网络线路中
B.对异常的进出流量可以直接进行阻断
C.有可能造成单点故障
D.不会影响网络性能
参考答案:
D
[单项选择题]
23、下列哪一些对信息安全漏洞的描述是错误的?
()
A.漏洞是存在于信息系统的某种缺陷
B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)
C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失
D.漏洞都是人为故意引入的一种信息系统的弱点
参考答案:
D
[单项选择题]
24、数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是()
A.传输层、网络接口层、互联网络层
B.传输层、互联网络层、网络接口层
C.互联网络层、传输层、网络接口层
D.互联网络层、网络接口层、传输层
参考答案:
B
[单项选择题]
25、在软件保障成熟度模型(SoftwareAssuranceMaturityldode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能()
A.治理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动
C.验证,主要是测试和验证软件的过程与活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
参考答案:
D
[单项选择题]
26、小王是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识,小王的主要观点包括:
(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备;
(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果;(3)背景建立包括:
风险管理准备、信息系统调查、信息系统分析和信息安全分析;(4)背景建立的阶段性成果包括:
风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告。
请问小王的所述论点中错误的是哪项()
A.第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象
B.第二个观点,背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准
C.第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字
D.第四个观点,背景建立的阶段性成果中不包括有风险管理计划书
参考答案:
B
[单项选择题]
27、以下关于信息安全法治建设的意义,说法错误的是()
A.信息安全法律环境是信息安全保障体系中的必要环节
B.明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动
C.信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D.信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
参考答案:
C
[单项选择题]
28、2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。
以下关于电子签名说法错误的是()
A.电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据
B.电子签名适用于民事活动中的合同或者其他文件、单证等文书
C.电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务
D.电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供者共有
参考答案:
D
[单项选择题]
29、信息安全等级保护分级要求,第三级适用正确的是()
A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益
B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害
C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害
D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。
其受到破坏后,会对国家安全、社会秩序,经济建设和公共利益造成特别严重损害
参考答案:
B
参考解析:
第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
[单项选择题]
30、以下对于信息安全事件理解错误的是()
A.信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
B.对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
C.应急响应是信息安全事件管理的重要内容
D.通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生
参考答案:
D
[单项选择题]
31、以下哪一项不是信息安全管理工作必须遵循的原则?
()
A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
C.由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低
D.在系统正式运行后,应注重残余风险的管理,以提高快速反应能力
参考答案:
C
[单项选择题]
32、以下哪些是需要在信息安全策略中进行描述的()
A.组织信息系统安全架构
B.信息安全工作的基本原则
C.组织信息安全技术参数
D.组织信息安全实施手段
参考答案:
B
[单项选择题]
33、RPC系列标准是由()发布的
A.国际标准化组织(ISO)
B.国际电工委员会(IEC)
C.国际贸易中心(ITC)
D.互联网工程任务组IETF
参考答案:
D
[单项选择题]
34、下面的角色对应的信息安全职责不合理的是()
A.高级管理层——最终责任
B.信息安全部门主管——提供各种信息安全工作必须的资源
C.系统的普通使用者——遵守日常操作规范
D.审计人员——检查安全策略是否被遵从
参考答案:
B
[单项选择题]
35、自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。
()
A.全国通信标准化技术委员会(TC485)
B.全国信息安全标准化技术委员会(TC260)
C.中国通信标准化协会(CCSA)
D.网络与信息安全技术工作委员会
参考答案:
B
[单项选择题]
36、以下哪一项在防止数据介质被溢用时是不推荐使用的方法()
A.禁用主机的CD驱动、USB接口等I/O设备
B.对不再使用的硬盘进行严格的数据清除
C.将不再使用的纸质文件用碎纸机粉碎
D.用快速格式化删除存储介质中的保密文件
参考答案:
D
[单项选择题]
37、为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征。
()
A.统一而精确地的时间
B.全面覆盖系统资产
C.包括访问源、访问目标和访问活动等重要信息
D.可以让系统的所有用户方便的读取
参考答案:
D
[单项选择题]
38、以下关于灾难恢复和数据备份的理解,说法正确的是()
A.增量备份是备份从上次完全备份后更新的全部数据文件
B.依据具备的灾难恢复资源程度的不同,灾难恢复能力分为7个等级
C.数据备份按数据类型划分可以划分为系统数据备份和用户数据备份
D.如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了
参考答案:
C
[单项选择题]
39、在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容()
A.审核实施投资计划
B.审核实施进度计划
C.审核工程实施人员
D.企业资质
参考答案:
A
[单项选择题]
40、作为业务持续性计划的一部分,在进行业务影响分析(BIA)时的步骤是()1.标识关键的业务过程2.开发恢复优先级3.标识关键的IT资源4.表示中断影响和允许的中断时间
A.1-3-4-2
B.1-3-2-4
C.1-2-3-4
D.1-4-3-2
参考答案:
A
参考解析:
业务影响分析也称作业务影响评估,分析了干扰性风险对组织运营的影响方式,同时识别并量化了必要的风险管理能力。
其步骤主要是:
1.标识关键的业务过程;2.标识关键的IT资源;3.表示中断影响和允许的中断时间;4.开发恢复优先级。
[单项选择题]
41、下面关于信息系统安全保障的说法不正确的是()
A.信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关
B.信息系统安全保障要素包括信息的完整性、可用性和保密性
C.信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障
D.信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命
参考答案:
B
[单项选择题]
42、下面关于信息系统安全保障模型的说法不正确的是()
A.国家标准《信息系统安全保障评估框架第一部分:
简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
B.模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
C.信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入
参考答案:
D
参考解析:
信息安全安全措施:
确保信息的保密性、完整性、可用性和抗抵赖性是信息安全保密的中心任务。
单位对信息系统运行维护和使用的人员在能力和培训方面是需要加强投入的,故D项说法错误,答案为D。
[单项选择题]
43、划分VLAN主要解决什么问题?
()
A.隔离广播
B.解决安全性
C.隔离故障域
D.解决带宽问题
参考答案:
A
[单项选择题]
44、某单位总部与各分部使用防火墙通过ISP专线实现网络互联,各分部网络结构相同,防火墙统一配置为:
1口提供互联网接入服务,2口配置为互联总部。
各分部防火墙的两个端口配置哪种模式最合理?
()
A.都是路由模式
B.都是NAT模式
C.路由模式和NAT模式
D.NAT和路由模式
参考答案:
D
[单项选择题]
45、IP欺骗(IPSpoof)是利用TCP/IP协议中()的漏洞进行攻击的。
A.对源IP地址的鉴别方式
B.结束会话时的四次握手过程
C.IP协议寻址机制
D.TCP寻址机制
参考答案:
A
[单项选择题]
46、下面哪一个工具不支持漏洞扫描()
A.BT5
B.NMAP
C.wireshahe
D.nessus
参考答案:
C
[单项选择题]
47、以下哪项不是风险评估阶段应该做的()
A.对ISMS范围内的信息资产进行鉴定和估价
B.对信息资产面对的各种威胁和脆弱性进行评估
C.对已存在的成规划的安全控制措施进行界定
D.根据评估结果实施相应的安全控制措施
参考答案:
D
[单项选择题]
48、“通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动?
()
A.规划和建立
B.实施和运行
C.监视和评审
D.保持和改进
参考答案:
D
[单项选择题]
49、以下关于符合性管理的描述中错误的是()
A.符合性包括法律法规的符合性和组织安全策略方针的符合性
B.仅在组织内部使用的信息系统不必考虑来自外部的法律法规的要求
C.通过信息系统审核检查符合性时,应尽量减少审核对信息系统的影响
D.符合性管理中应当注意用户个人隐私保护问题
参考答案:
B
[单项选择题]
50、SSE-CMM可以对获取组织、工程组织()产生作用
A.采购组织
B.开发组织
C.集成组织
D.认证组织
参考答案:
D
[单项选择题]
51、信息安全风险评估是信息安全管理体系建立的基础,以下说法错误的是()
A.信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安全风险评估
B.风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估
C.风险评估可以确定需要实施的具体安全控制措施
D.风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合
参考答案:
C
[单项选择题]
52、以下《关于加强政府信息系统安全和保密管理工作的通知》和《关于印发政府信息系统安全检查办法》错误的是()
A.明确检查方式“以自查为主,抽查为辅”、按需求进行技术检测
B.明确对信息安全工作“谁主管谁负责、谁运行谁负责、谁使用谁负责”
C.明确安全管理措施和手段必须坚持管理制度和技术手段
D.明确工信部具体负责组织检查
参考答案:
D
[单项选择题]
53、对PPDR模型的解释错误的是()
A.该模型提出安全策略为核心,防护、检测和恢复组成一个完整的、动态的循环
B.该模型的一个重要贡献是加速了时间因素,而且对如何实现系统安全和评价安全状态给出了可操作的描述
C.该模型提出的公式1:
Pt>Dt+rt,代表防护时间大于检测时间加响应时间
D.该模型提出的公式2:
Et=Dt+rt,代表当防护时间为0时,系统的暴露时间等于检测时间加响应时间
参考答案:
B
[单项选择题]
54、以下哪一项对HVACR的解释是正确的?
()
A.电磁泄露防护技术的总称
B.物理访问控制的总称
C.一种生物识别技术
D.供热、通风、空调,和冰箱等
升级会员 