CISP考试专用题库详解.docx

1、CISP考试专用题库详解1美国的关键信息基础设施(critical Information Infrastructure，CII)包括商用核 设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括：A这些行业都关系到国计民生，对经济运行和国家安全影响深远B这些行业都是信息化应用广泛的领域C.这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出D这些行业发生信息安全事件，会造成广泛而严重的损失2关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：A2001-

2、2002 年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构B2003-2005 年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件关于加强信息安全保障工作的意见(中办发27 号文件)并颁布了国家信息安全战略C2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成功&D2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈出了坚实步伐3依据国家标准/T20274信息系统安全保障评估框架，信息系统安全目标(ISST)中，安全保障目的指的是：A、信息系统安全保障目的B、环境安全保障目的C

3、、信息系统安全保障目的和环境安全保障目的D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的4以下哪一项是数据完整性得到保护的例子?A某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B在提款过程中ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作&C某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看5.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多

4、重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的：A.乙对信息安全不重视，低估了黑客能力，不舍得花钱&B甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费C甲未充分考虑网游网站的业务与政府网站业务的区别D乙要综合考虑业务、合规性和风险，与甲共同确定网站安全需求6进入21 世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：A与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点B

5、美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担C各国普遍重视信息安全事件的应急响应和处理D在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系7与PDR 模型相比，P2DR 模型多了哪一个环节?A防护B检测C反应D.策略&8以下关于项目的含义，理解错误的是：A项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。B.项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。&C项目资源指完成项目所需要的人、财、物等。D项目目标要遵

6、守SMART 原则，即项目的目标要求具体(Specific)、可测量（Measurable)、需相关方的一致同意(Agree to)、现实(Realistic)、有一定的时限(Time-oriented)92008 年1 月2 日，美目发布第54 号总统令，建立国家网络安全综合计划（Comprehensive National Cybersecurity Initiative，CNCI)。CNCI 计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境从以上内容，我们可以看出以下哪种分析是正确的：ACNCI 是以风险为核心，三道防线首

7、要的任务是降低其网络所面临的风险B.从CNCI 可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的CCNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补DCNCI 彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障&10下列对于信息安全保障深度防御模型的说法错误的是：A信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信

8、息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。C信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。D信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。11如图，某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一类：A个人网银系统和用户之间的双向鉴别B由可信第三方完成的用户身份鉴别C.个人网银系统对用户身份的单向鉴别*D用户对个人网银系统合法性的单向鉴别12如下图所示，Alice 用Bob 的密钥加密明文，将密文发送给Bob。Bob 再用自

9、己的私钥解密，恢复出明文。以下说法正确的是：A此密码体制为对称密码体制B此密码体制为私钥密码体制C此密码体制为单钥密码体制D此密码体制为公钥密码体制&13下列哪一种方法属于基于实体“所有”鉴别方法：A用户通过自己设置的口令登录系统，完成身份鉴别B用户使用个人指纹，通过指纹识别系统的身份鉴别C用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别D.用户使用集成电路卡(如智能卡)完成身份鉴别&14为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?A.实体“所知”以及实体“所有”的鉴别方法

10、&B实体“所有”以及实体“特征”的鉴别方法C实体“所知”以及实体“特征”的鉴别方法D实体“所有”以及实体“行为”的鉴别方法15某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?A.渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞&B渗透测试是用软件代替人工的一种测试方法，因此测试效率更高C渗透测试使用人工进行测试，不依赖软件，因此测试

11、更准确D渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多16软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误的?A告诉用户需要收集什么数据及搜集到的数据会如何披使用B当用户的数据由于某种原因要被使用时，给用户选择是否允许C用户提交的用户名和密码属于稳私数据，其它都不是&D确保数据的使用符合国家、地方、行业的相关法律法规17软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：A.在软件立项时考虑到软件安

12、全相关费用，经费中预留了安全测试、安全评审相关费用，确保安全经费得到落实&B在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足C确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码D在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测试，未经以上测试的软件不允许上线运行18以下哪一项不是工作在网络第二层的隧道协议：A.VTP&BL2FCPPTPDL2TP19如圈所示，主体S 对客体01 有读(R)权限，对客体02 有读(R)、写(W)、拥有(Own)权限，该图所示的访问控制实现方法是：A访

13、问控制表(ACL)B访问控制矩阵C.能力表(CL)&D前缀表(Profiles)20以下场景描述了基于角色的访问控制模型(Role-based Access ControlRBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC 模型，下列说法错误的是：A当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝B业务系统中的岗位、职位或者分工，可对应RBAC 模型中的角色C通过角色，可实现对信息资源访问的控制D.RBAC 模型不能实现多级安全中的访问控制&2

14、1下面哪一项不是虚拟专用网络(VPN)协议标准：A第二层隧道协议(L2TP)BInternet 安全性(IPSEC)C.终端访问控制器访问控制系统(TACACS+)&D点对点隧道协议(PPTP)22下列对网络认证协议(Kerberos)描述正确的是：A该协议使用非对称密钥加密机制B密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成C该协议完成身份鉴别后将获取用户票据许可票据D使用该协议不需要时钟基本同步的环境&23鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的：A口令B令牌&C知识D密码24在ISO 的OSI 安全体系结构中，以下哪一个安全机制可以提供抗抵赖

15、安全服务?A加密B.数字签名&C访问控制D路由控制25某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是：A选购当前技术最先进的防火墙即可B选购任意一款品牌防火墙C任意选购一款价格合适的防火墙产品D选购一款同已有安全产品联动的防火墙&26在OSI 参考模型中有7 个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务?A.网络层&B表示层C会话层D物理层27某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能

16、在系统上执行，该设计是遵循了软件安全设计中的哪项原则?A.最小权限B.权限分离&C不信任D纵深防御28以下关于互联网协议安全(Internet Protocol Security，IPsec)协议说法错误的是：A在传送模式中，保护的是IP 负载B验证头协议(Authentication Head，AH)和IP 封装安全载荷协议(EncapsulatingSecurity Payload，ESP)都能以传输模式和隧道模式工作c在隧道模式中，保护的是整个互联网协议(Internet Protocol，IP)包，包括IP 头D.IPsec 仅能保证传输数据的可认证性和保密性&29某电子商务网站在开发

17、设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE 是微软SDL 中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing 是STRIDE 中欺骗类的威胁，以下威胁中哪个可以归入此类威胁?A网站竞争对手可能雇佣攻击者实施DDoS 攻击，降低网站访问速度B网站使用http 协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等C网站使用http 协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改D网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修

18、改用户订单等信息&30.以下关于PGP(Pretty Good Privacy)软件叙述错误的是：APGP 可以实现对邮件的加密、签名和认证BPGP 可以实现数据压缩CPGP 可以对邮件进行分段和重组DPGP 采用SHA 算法加密邮件&31入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术，它与IDS 有着许多不同点，请指出下列哪一项描述不符合IPS 的特点?A串接到网络线路中B对异常的进出流量可以直接进行阻断C有可能造成单点故障D.不会影响网络性能&32相比文件配置表(FAT)文件系统，以下哪个不是新技术文件系统(NTFS)所具有的优势?ANTFS 使用事务日志自

19、动记录所有文件夹和文件更新，当出现系统损坏和电源故障等闯题而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作BNTFS 的分区上，可以为每个文件或文件夹设置单独的许可权限C对于大磁盘，NTFS 文件系统比FAT 有更高的磁盘利用率D.相比FAT 文件系统，NTFS 文件系统能有效的兼容linux 下EXT2 文件格式&33某公司系统管理员最近正在部署一台Web 服务器，使用的操作系统是windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：A在网络中单独部署syslog 服务器，将Web 服务器的

20、日志自动发送并存储到该syslog 日志服务器中&B.严格设置Web 日志权限，只有系统权限才能进行读和写等操作C对日志属性进行调整，加大日志文件大小、延长日志覆盖时间、设置记录更多信息等D使用独立的分区用于存储日志，并且保留足够大的日志空间34关于linux 下的用户和组，以下描述不正确的是 。A在linux 中，每一个文件和程序都归属于一个特定的“用户”B系统中的每一个用户都必须至少属于一个用户组C.用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组*Droot 是系统的超级用户，无论是否文件和程序的所有者都具有访问权限35安全的运行环境是软件安全的基础，操作系统安全

21、配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows 操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?A操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞B.为了方便进行数据备份，安装Windows 操作系统时只使用一个分区C，所有数据和操作系统都存放在C 盘&C操作系统上部署防病毒软件，以对抗病毒的威胁D将默认的管理员账号Administrator 改名，降低口令暴力破解攻击的发生可能36在数据库安全性控制中，授权的数据对象 ，授权子系统就越灵活?A.粒度越小&B约束越细致C范围越大D约束范围大37下列哪一些对信息安全漏洞的

22、描述是错误的?A漏洞是存在于信息系统的某种缺陷。B漏洞存在于一定的环境中，寄生在一定的客体上(如TOE 中、过程中等)。C具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失。D漏洞都是人为故意引入的一种信息系统的弱点&38账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?A分布式拒绝服务攻击(DDoS)B病毒传染C.口令暴力破解&D缓冲区溢出攻击39数据在进行传输前，需要由协议栈自上而下对数据进行封装，TCPIP 协议中，数据封装的顺序是：A传输层、网络接口层、互联网络层B传输层、互联网络层、网络接口层&C互联网络层

23、、传输层、网络接口层D互联网络层、网络接口层、传输层40以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?AARP 协议是一个无状态的协议B为提高效率，ARP 信息在系统中会缓存CARP 缓存是动态的，可被改写D.ARP 协议是用于寻址的一个重要协议41张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击?A口令攻击B暴力破解C拒绝服务攻击D.社会工程学攻击&42关于软件安全开发生命周期(SDL)，下面说法错误的是：A在软件开发的各个周期都要考虑安全因素B软件安全开发生命周期要综合采用技术、管理和工程等手段C

24、测试阶段是发现并改正软件安全漏洞的最佳环节，过早或过晚检测修改漏洞都将增大软件开发成本&D在设计阶段就尽可能发现并改正安全隐患，将极大减少整个软件开发成本43在软件保障成熟度模型(Software Assurance Maturity ldode，SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能：A治理，主要是管理软件开发的过程和活动B.构造，主要是在开发项目中确定目标并开发软件的过程与活动C验证，主要是测试和验证软件的过程与活动D.购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动&部署44从系统工程的角度来处理信息安全问题，以下说法错误的是：

25、A系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。B系统安全工程需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企业的要求，或系统遗留的安全薄弱性在可容许范围之内。C系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法，是一种使用面向开发的方法。&D系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上，通过对安全工作过程进行管理的途径，将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。45小王是某大学计算科学与技术专业的

26、毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位，一次面试中，某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识，小王的主要观点包括：(1)背景建立的目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风验管理项目的规划和准备；(2)背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果； (3)背景建立包括：风险管理准备、信息系统调查、信息系统分析和信息安全分析；(4)背景建立的阶段性成果包括：风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告。请问小王的所述论点中错误的是哪项：A

27、第一个观点，背景建立的目的只是为了明确信息安全风险管理的范围和对象B第二个观点，背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准C.第三个观点，背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字&D第四个观点，背景建立的阶段性成果中不包括有风险管理计划书46有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices，BP)，正确的理解是：ABP 是基于最新技术而制定的安全参数基本配置B大部分BP 是没有经过测试的C.一项BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段&D一项BP 可以和其他BP 有重叠47以下哪一种判断信息系统

28、是否安全的方式是最合理的?A是否己经通过部署安全控制措施消灭了风险B是否可以抵抗大部分风险C是否建立了具有自适应能力的信息安全模型D.是否已经将风险控制在可接受的范围内&48以下关于信息安全法治建设的意义，说法错误的是：A信息安全法律环境是信息安全保障体系中的必要环节B明确违反信息安全的行为，并对该行为进行相应的处罚，以打击信息安全犯罪活动C信息安全主要是技术问题，技术漏洞是信息犯罪的根源&D信息安全产业的逐渐形成，需要成熟的技术标准和完善的技术体系49小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值

29、损失二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少：A24 万B009 万C375 万D.9 万&502005 年4 月1 日正式施行的电子签名法，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是：A.电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据B电子签名适用于民事活动中的合同或者其他文件、单证等文书C电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务51风险管理的监控与审查不包含：A过程质量管理B成

30、本效益管理&C跟踪系统自身或所处环境的变化D协调内外部组织机构风险管理活动52信息安全等级保护分级要求，第三级适用正确的是：A适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益B适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害&C适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害D适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后，会对国家安全、社会秩序，经济建设和公共利益造成特别严重损害53下面哪一项安全控制措施不是用来检测XX的信息处理活动的：A设置网络连接时限&B记录并分析系统错误日志C记录并分析用户和管理员操作日志D启用时钟同步54有关危害国家秘密安全的行为的法律责任，正确的是：A严重违反保密规定行为只要发生，无论是否产生泄密实际后果，都要依法追究责任&B非法获取国家秘密，不会构成刑事犯罪，不