CISP考试重点题库100套.docx
《CISP考试重点题库100套.docx》由会员分享,可在线阅读,更多相关《CISP考试重点题库100套.docx(25页珍藏版)》请在冰豆网上搜索。
CISP考试重点题库100套
1、IATF由美国国家安全局?
(NSA)发布,最初目的是为美国政府和工业的信息基础设施提供技术指南,其中,提出需要防护的三类“焦点区域”是:
A、网络和基础设施、区域边界、重要服务器
B、网络和基础设施、区域边界、计算环境
C、网络机房环境、网络接口、计算环境
D、网络机房环境、网络接口、重要服务器
2、信息安全保障强调安全是动态的安全,意味着:
A、信息安全是一个不确定性的概念
B、信息安全是一个主观的概念
C、信息安全必须覆盖信息系统整个生命周期,随着安全风险的变化有针对性地进行调整
D、信息安全只能保证信息系统在有限物理范围内的安全,无法保证整个信息系统的安全
3、依据国家标准GB/T20274《信息系统安全保障评估框架》,在信息安全保障评估中,评估信息系统在其运行环境中其安全保障控制对安全保障要求的符合性,是同相关的内容.
A、信息系统安全保障级
B、安全技术能力成熟度
C、信息系统安全轮廓(ISPP)和信息系统安全目标(ISST)
D、安全技术能力成熟度、安全管理能力成熟度、安全工程能力成熟度
4、以下一项是数据完整性得到保护的例子?
A.某网站在访问量突然增加时对用户连接数量进行了限制,保证己登录的用户可以完成操作
B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的帐户余顺进行了冲正操作
C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作
D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清沽工的商业间谍无法查看
5、依据国家标准GB/T20274《信息系统安全保障评估框架》,安全环境指的是:
A、组织机构内部相关的组织、业务、管理策略
B、所有的信息系统安全相关的运行环境,如已知的物理部署、自然条件、建筑物等
C、国家的法律法规、行业的政策、制度规范等
D、以上都是
6、进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:
A、与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点。
B、美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理功能由不同政府部门的多个机构共同承担
C、各国普遍重视信息安全事件的应急响应处理
D、在网络安全战略中,各国均强调加深政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系。
7、对PPDR模型的解释错误的是:
A、该模型提出安全策略为核心,防护、检测和恢复组成一个完整的、动态的循环
B、该模型的一个重要贡献是加速了时间因素,而且对如何实现系统安全和评价安全状态给出了可操作的描述
C、该模型提出的公式1:
Pt>Dt+rt,代表防护时间大于检测时间加响应时间
D、该模型提出的公式2:
Et=Dt+rt,代表当防护时间为0时,系统的暴露时间等于检测时间加响应时间
8、下面对于信息安全发展历史描述正确的是:
A、信息安全的概念是随着计算机技术的广泛应用而诞生的
B、目前信息安全已经发展到计算机安全的阶段
C、目前信息安全不仅仅是关注信息技术,人们的意识到组织、管理、工程过程和人员同样是促进信息系统安全性的重要因素
D、我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”,再到“信息技术安全”,直到现在的“信息安全保障”。
9、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?
A.提高信息技术产品的国产化率
B.保证信息安全资金投入
C.加快信息安全人才培养
D.重视信息安全应急处理工作
10、下列对于信息安全保障深度防御模型的说法错误的是:
A、信息安全外部环境:
信息安全保障是组织机构安全,国家安全的一个总要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
B、信息安全管理和工程:
信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统
C、信息安全人才体系:
在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分。
D、信息安全技术方案:
“从外而内,自下而上,形成边界到端的防护能力”。
11、在一个密码系统中,密钥长度应该是:
A、越长越好
B、根据安全需求大于某个计算可行性界限值
C、根据当前常见的计算机搜索速度而定
D、根据当前最快的计算机搜索速度而定
12、如下图所示,AliceyongBob的密钥加密文档,将密文发送给Bob,Bob在用自己的私钥解密,恢复出明文,以下说法争取的是:
A、此密码体制为对称密码体制
B、此密码体制为私钥密码体制
C、此密码体制为单钥密码体制
D、此密码体制为公钥密码体制
13、在网络通信中,一般用哪一类算法来保证机密性?
A、对称加密算法
B、消息认证码算法
C、消息摘要算法
D、数字签名算法
14、一下哪一种非对称加密算法的速度最快?
A、RSA
B、ECC
C、Blowfish
D、IDEA
15、在RSA算法中,公钥为PU={e,n},私钥为PR={d,n},下列关于e,d,n,的说法正确的是。
A、收发双方均已知n
B、收发双方均已知d
C、由e和n可以很容易地确定d
D、只有接收方已知e
16、下列描述中,关于摘要算法描述错误的是
A、消息摘要算法的主要特征是运算过程不需要密钥,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的摘要。
B、消息摘要算法将一个随机长度的信息生成一个固定长度的信息摘要
C、为了保证消息摘要算法安全,必须保证其密钥不被攻击方获取,否则所加密的数据将被破解,造成信息泄密。
D、消息摘要算法的一个特点是:
输入任何微小的变动都将引起加密结果的很大改变。
17、以下那一项是基于一个大的整数很难分解成两个素数因数?
A.椭圆曲线(ECC)
B.RSA
C.数据加密标准(DES)
D.Diffie-Hellman
18、目前对消息摘要算法(MD5),安全哈希算法(SHA1)的攻击是指?
A、能够构造出两个不同的消息,这两个消息产生了相同的消息摘要。
B、对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要。
C、对于一个已知的消息摘要,能够恢复其原始消息
D、对于一个已知的消息,能够构造出一个不同的消息摘要,也能通过验证。
19、以下哪一项不是工作在网络第二层的隧道协议?
A、WTP
B、l2F
C、pptp
D、L2TP
20、如图所示,对客体0,主题S1和S2分别有读(R)、写(W)权限,该图所示的访问控制实现方法是:
A、访问控制矩阵
B、访问控制表(ACL)
C、能力表(CL)
D、前缀表(Profilws)
21、下列对自主访问控制说法不正确的是:
A、自主访问控制允许客体决定主体对该客体的访问权限
B、自主访问控制具有较好的灵活性扩展性
C、自主访问控制可以方便地调整安全策略
D、自主访问控制安全性不高,常用于商业系统
22、下面哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互?
A、强制访问控制(MAC)
B、集中式访问控制(DecentralizedAccesscontrol)
C、分布式访问控制(DistributedAccesscontrol)
D、自主访问控制(DAC)
23、按照BLP模型规则,以下哪种访问不能被授权:
A.Bob的安全级是(机密,{NUC,EUR}),文件的安全级是(机密,{NUC,EUR,AMC}),Bob请求写该文件
B.Bob的安全级是(机密,{NUC,EUR}),文件的安全级是(机密,{NUC}),Bob请求读该文件
C.Alice的安全级是(机密,{NUC,EUR}),文件的安全级是(机密,{NUC,US}),Alice请求写该文件
D.Alice的安全级是(机密,{NUC,US}),文件的安全级是(机密,{NUC,US}),Alice请求读该文件
24、以下关于IPSECVPN技术说法最正确的是?
A、IPSECVPN不能进行NAT穿越
B、IPSECVPN不支持外部单点对内部网络的访问形式
C、IPSECVPN不仅可以认证双方身份还可以对传输的数据进行加密和完整性校验
D、IPSECVPN有三种模式:
传输模式、路由模式、通道模式
25、下列对于网络认证协议(Kerberos)描述正确的是:
A、该协议使用非对称密钥加密机制
B、密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成
C、该协议完成身份鉴别后将获取用户票据许可票据
D、使用该协议不需要时钟基本同步的环境
26、鉴别的基本途径有三种:
所知、所有和个人特征,以下哪一项不是基于你所知道的:
A、口令
B、令牌
C、知识
D、密码
27、如图1所示,主机A向主机B发出的数据采用AP或ESP的传输模式对流量进行保护时,主机A和主机B的IP地址在应该在下列那个范围?
A、10.0.0.0-10.255.255.255
B、172.16.0.0-172.31.255.255
C、192.168.0.0-192.168.255.255
D、不在上述范围内
28、在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A、加密
B、数字签名
C、访问控制
D、路由控制
29、那些是对私有地址的正确描述?
A、公司使用的与互联网联通的网址
B、在公网上可以被路由的地址
C、节省公网地址使用的方案
D、有一份互联网注册组织授权地址给企业或互联网服务提供商
30、以下哪种方法不能有效提高WLAN的安全性:
A.修改默认的服务区标识符(SSID)
B.禁止SSID广播
C.启用终端与AP间的双向认证
D.启用无线AP的开放认证模式
31、以下哪种无线加密标准中那一项的安全性最弱?
A、wep
B、wpa
C、wpa2
D、wapi
32、以下哪个选项不是防火墙技术
A、IP地址欺骗防护
B、NAT
C、访问控制
D、SQL注入防护
33、以下哪一项不应被看做防火墙的主要功能?
A、协议过滤
B、包交换
C、访问控制规则的实现
D、审计能力的扩展
34、下面那一项不是通用IDS模型的组成部分:
A、传感器
B、过滤器
C、分析器
D、管理器
35、入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与IDS有着许多不同点。
请指出下列哪一项描述不符合IPS的特点?
A、串接到网络线路中
B、对异常的进出流量可以直接进行阻断
C、有可能造成单点故障
D、不会影响网络性能
36、相比FAT文件系统,以下那个不是NTFS所具有的优势?
A、NTFS使用事务日志自动记录所有文件和文件夹更新,当出现系统损坏引起操作失败后,系统能利用日志文件重做或恢复未成功的操作。
B、NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限
C、对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率。
D、相比FAT文件系统,NTFS文件系统能有效的兼容linux下的EXT32文件格式。
37、.Windows系统下,哪项不是有效进行共享安全的防护措施?
A.使用netshare\\127.0.0.1\c$/delete命令,删除系统中的c$等管理共享,并重启系统
B.确保所有的共享都有高强度的密码防护
C.禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值
D.安装软件防火墙阻止外面对共享目录的连接
38、张主任的计算机使用Windows7操作系统,他常登录的用户名为zhang,张主任给他个人文件件设置了权限为只有zhang这个用户有权访问这个目录,管理员在某次维护中无意将zhang这个用户删除了,随后又重新建立了一个用户名为zhang,张主任使用zhang这个用户登录系统后,发现无法访问他原来的个人文件夹,原因是:
A、任何一个新建用户都需要经过授权才能访问系统中的文件
B、Windows7不认为新建立的用户zhang与原来的用户zhang是同一个用户,因此无权访问
C、用户被删除后,该用户创建的文件夹也会自动删除,新建用户找不到原来用户的文件夹,因此无法访问
D、新建的用户zhang会继承原来的用户的权限,之所以无权访问是因为文件夹经过了加密
39、Linux系统对文件的权限是以模式位的形式来表示,对于文件名为test的一个文件,属于admin组中user用户,以下哪个是该文件正确模式表示?
A.rwxr-xr-x3useradmin1024Sep1311:
58test
B.drwxr-xr-x3useradmin1024Sep1311:
58test
C.rwxr-xr-x3adminuser1024Sep1311:
58test
D.drwxr-xr-x3adminuser1024Sep1311:
58test
40、关于Linux下的用户和组,以下描述不正确的是
A、在Linux中,每一个文件和程序都归属于一个特定的“用户”
B、系统中的每一个用户都必须至少属于一个用户组
C、用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于多个组
D、root是系统的超级用户,无论是否文件和程序的所有者都具有访问权限
41、在数据库安全性控制中,授权的数据对象_______,授权子系统就越灵活?
A.粒度越小
B.约束越细致
C.范围越大
D.约束范围大
42.ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:
A.httpd.conf
B.srm.conf
C.access.conf
D.inetd.conf
43.以下关于https协议与http协议相比的优势说明,哪个是正确的:
A、https协议对传输的数据进行了加密,可以避免嗅探等攻击行为
B、https使用的端口与http不同,让攻击者不容易找到端口,具有较高的安全性
C、https协议是http协议的补充,不能独立运行,因此需要更高的系统性能
D、https协议使用了挑战机制,在会话过程中不传输用户名和密码,因此具有较高的安全性
44.下列哪一些对信息安全漏洞的描述是错误的?
A.漏洞是存在于信息系统的某种缺陷
B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)
C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,
从而给信息系统安全带来威胁和损失。
D.漏洞都是人为故意引入的一种信息系统的弱点
45.下列哪项内容描述的是缓冲区溢出漏洞?
A、通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。
C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据会覆盖在合法数据上
D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷
46.以下对于蠕虫病毒的说法错误的是:
A.通常蠕虫的传播无需用户的操作
B.蠕虫病毒的主要危害体现在对数据保密性的破坏
C.蠕虫的工作原理与病毒相似,除了没有感染文件阶段
D.是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序
47.以下不属于跨站脚本危害的是:
A、盗取用户COOKIE信息,并进行COOKIE欺骗
B、使用户访问钓鱼网站,导致敏感信息泄露
C、上传Webshell,控制服务器
D、传播XSS蠕虫影响用户正常功能
48.恶意代码采用加密技术的目的是:
A.加密技术是恶意代码自身保护的重要机制
B.加密技术可以保证恶意代码不被发现
C.加密技术可以保证恶意代码不被破坏
D.以上都不正确
49、下列关于计算机病毒感染能力的说法不正确的是:
A.能将自身代码注入到引导区
B.能将自身代码注入到扇区中的文件镜像
C.能将自身代码注入文本文件中并执行
D.能将自身代码注入到文档或模板的宏中代码
50、以下那个是恶意代码采用的隐藏技术:
A、文件隐藏
B、进程隐藏
C、网络连接隐藏
D、以上都是
51、shellcode是什么?
A、是用C语言编写的一段完成特殊功能代码
B、是用汇编语言编写的一段完成特殊功能代码
C、是用机器码组成的一段完成特殊功能代码
D、命令行下的代码编写
52、通过向被攻击者发送大量的ICMP回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效地网络信息流时,这种攻击称之为:
A.Land攻击
B.Smurf攻击
C.PingofDeath攻击
D.ICMPFlood
53、以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?
A.ARP协议是一个无状态的协议
B.为提高效率,ARP信息在系缆中会缓存
C.ARP缓存是动态的,可被改写
D.ARP协议是用于寻址的一个重要协议
54、以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击?
A.Land
B.UDPFlood
C.Smurf
D.Teardrop
56、下列属于分布式拒绝服务(DDOS)攻击的是
A.Men-in-Middle攻击
B.SYN洪水攻击
C.TCP连接攻击
D.SQL注入攻击
57.网络管理员定义“noipdirectedbroadcast”以减轻下面哪种攻击?
A.Diecast
B.Smurf
C.Batcast
D.Coke
55、以下哪个不是UDPFlood攻击的方式
A.、发送大量的udp小包冲击应用服务器
B、利用Echo等服务形成UDP教据流导致网络拥塞
C、利用UDP服务形成UDP数据流导致网络拥塞
D、发送错误的UDP数据报文导致系统崩溃
58、黑客进行攻击的最后一个步骤是:
A、侦查与信息收集
B、漏洞分析与目标选定
C、获取系统权限
D、打扫战场、清除证据
59、某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,不正确的是()
A、软件安全开发应当涉及软件开发整个生命周期,即要在软件开发生命周期的各个阶段都要采取一些措施来确保软件的安全性
B、应当尽早在软件开发的需求和设计阶段就增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多
C、和传统的软件开发阶段相比,应当增加一个专门的安全编码阶段
D、安全测试阶段非常重要,有必要采取一些安全测试方法学和测试手段来确保软件的安全性
60、以下哪个选项不是信息安全需求的来源?
A、法律法规与合同条约的要求
B、组织的原则、目标和规定
C、风险评估的结果
D、安全架构和安全厂商发布的漏洞、病毒预警
61、关于信息安全管理,说法错误的是:
A、信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的持续)而进行的计划、组织、指挥和控制的一系列活动。
B、信息安全管理是一个多层面、多因素的过程,依赖于建立信息安全组织、明确信息安全角色及职责、制订信息安全方针策略标准规范、建立有效的监督审计机制等多方面的非技术性的努力。
C、实现信息安全,技术和产品是基础,管理是关键
D、信息安全是人员、技术、操作三者紧密合作的系统工程,是一个静态
62.对戴明环"PDCA"方法的描述不正确的是:
:
A“PDCA”的含义是P-计划,D-实施,C-检查,A-改进
B“PDCA”循环又叫"戴明"环
C“PDCA"循环是只能用于信息安全管理体系有效进行的工作程序
D“PDCA”循环是可用于任何一项活动有效进行的工作程序
63、信息系统的业务特性应该从哪里获取?
A、机构的使命
B、机构的战略背景和战略目标
C、机构的业务内容和业务流程
D、机构的组织结构和管理制度
64、在风险管理工作中,“了解机构的业务,从中明确支持机构业务运营的信息系统的业务特性”,这项工作应在下列哪个部分中完成?
A、风险管理准备
B、信息系统调查
C、信息系统分析
D、信息安全分析
65、下面哪一项安全控制措施不是用来检测XX的信息处理活动:
A设置网络链接时限
B.记录并分析系统错误日志
C.记录并分析用户和管理员操作日志
D.启用时钟同步
66、在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段?
A、背景建立;
B、风险评估;
C、风险处理;
D、批准监督
67、下列对风险分析方法的描述正确的是:
A定量分析比定性分析方法使用的工具更多
B定性分析比定量分析方法使用的工具更多
C同一组织只用使用一种方法进行评估
D符合组织要求的风险评估方法就是最优方法
68、《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:
A.规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。
B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。
C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。
D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。
评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。
69、在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的:
A.测试系统应使用不低于生产系统的访问控制措施
B.为测试系统中的数据部署完善的备份与恢复措施
C.在测试完成后立即清除测试系统中的所有敏感数据
D.部署审计措施,记录生产数据的拷贝和使用
70、以下关于“最小特权”安全管理原则理解正确的是:
A组织机构内的敏感岗位不能由一个人长期负责
B对重要的工作进行分解,分自己给不同人员完成
C一个人有且仅有其执行岗位所足够的许可和权限
D防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
71、作为信息中心的主任,你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任,这种情况造成了一定的安全风险,这时你应当怎么做?
A.抱怨且无能为力
B.向上级报告该情况,等待增派人手
C.通过部署审计措施和定期审查来降低风险
D.由于增加人力会造成新的人力成本,所以接受该风险
72、在一个有充分控制的信息处理计算中心中,下面酬的可以自同一个人执行?
A安全管理和变更管理
B计算机操作和系统开发
C系统开发和变更管理
D系统开发和系统维护
73、以下哪一项对TEMPEST的解释是正确的?
A、电磁泄露防护技术的总称
B、物理访问控制的总称
C、一种生物识别技术
D、供热、通风、空调,和冰箱等环境支持系统的简称
74、以下哪些是需要在信息安全策略中进行描述的
A、组织信息系统安全架构
B、信息安全工作的基本原则
C、组织信息安全技术参数
D、组织信息