CISP样题.docx

1、CISP样题1.以下对信息安全问题产生的根源描述最准确的是：A. 信息安全问题是由于信息技术的不断发展造成的B. 信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C. 信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的D. 信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏答案：D2.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求，在证书有效期内，应完成至少6次完整的信息安全服务经历，以下哪项不是信息安全服务：A、为政府单位信息系统进行安全方案设计B、在信息安全公司从事保安工作C、在公开场合宣讲安全知识D、在学校讲解信息安全课程答案：B3.确保信息没有

2、非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，不为其所用，是指： A、完整性B、可用性C、保密性D、抗抵赖性答案：C4.下列信息系统安全说法正确的是：A加固所有的服务器和网络设备就可以保证网络的安全B只要资金允许就可以实现绝对的安全C断开所有的服务可以保证信息系统的安全D信息系统安全状态会随着业务系统的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略答案：D5.OSI开放系统互联安全体系架构中的安全服务分为鉴别服务、访问控制、机密性服务、完整性服务、抗抵赖服务，其中机密性服务描述正确的是？ A.包括原发方抗抵赖和接受方抗抵赖B.包括连接机密性、无连接机密性、选择

3、字段机密性和业务流保密C.包括对等实体鉴别和数据源鉴别D.包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性 答案：B6.“进不来” “拿不走” “看不懂” “改不了” “走不脱”是网络信息安全建设的目的。其中，“看不懂”是指下面那种安全服务： A数据加密 B身份认证 C数据完整性D访问控制 答案：A7.电子商务交易必须具备抗抵赖性，目的在于防止 。A一个实体假装成另一个实体B参与此交易的一方否认曾经发生过此次交易C他人对数据进行非授权的修改、破坏D信息从被监视的通信过程中泄漏出去答案：B8.下列对于CC的“评估保证级”（EAL）的说

4、法最准确的是：A.代表着不同的访问控制强度B.描述了对抗安全威胁的能力级别C. 是信息技术产品或信息技术系统对安全行为和安全功能的不同要求D. 由一系列保证组件构成的包，可以代表预先定义的保证尺度答案：D9.下列哪一项准确地描述了可信计算基（TCB）？ATCB只作用于固件（Firmware）BTCB描述了一个系统提供的安全级别CTCB描述了一个系统内部的保护机制DTCB通过安全标签来表示数据的敏感性答案：B10.下面关于访问控制模型的说法不正确的是：A. DAC模型中主体对它所属的对象和运行的程序拥有全部的控制权。B. DAC实现提供了一个基于“need-to-know”的访问授权的方法，默认

5、拒绝任何人的访问。访问许可必须被显式地赋予访问者。C在MAC这种模型里，管理员管理访问控制。管理员制定策略，策略定义了哪个主体能访问哪个对象。但用户可以改变它。DRBAC模型中管理员定义一系列角色（roles）并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以访问它。答案：C11.安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的“简单安全规则”？ABiba模型中的不允许向上写BBiba模型中的不允许向下读CBell-LaPadula模型中的不允许向下写DBell-LaPadula模型中的不允许向上读答案：D12.下列

6、关于访问控制模型说法不准确的是？A.访问控制模型主要有3种：自主访问控制、强制访问控制和基于角色的访问控制。B.自主访问控制模型允许主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问。C.基于角色的访问控制RBAC中“角色”通常是根据行政级别来定义的。D.强制访问控制MAC是“强加”给访问主体的，即系统强制主体服从访问控制政策。答案：C13.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？ABell-LaPadula模型BBiba模型C信息流模型DClark-Wilson模型答案：D14.下列哪

7、一项关于Bell-LaPadula模型特点的描述是错误的？A. 强调对信息保密性的保护，受到对信息保密要求较高的军政机关和企业的喜爱。B. 既定义了主体对客体的访问，也说明了主体对主体的访问。因此，它适用于网络系统。C. 它是一种强制访问控制模型，与自主访问控制模型相比具有强耦合，集中式授权的特点。D. 比起那些较新的模型而言，Bell-LaPadula定义的公理很简单，更易于理解，与所使用的实际系统具有直观的联系。答案：B15.下列对于基于角色的访问控制模型的说法错误的是？A. 它将若干特定的用户集合与权限联系在一起B. 角色一般可以按照部门、岗位、工种等与实际业务紧密相关的类别来划分C.

8、因为角色的变动往往远远低于个体的变动，所以基于角色的访问控制维护起来比较便利D. 对于数据库系统的适应性不强，是其在实际使用中的主要弱点答案：D16.下列哪类访问控制模型是基于安全标签实现的？A. 自主访问控制B. 强制访问控制C. 基于规则的访问控制D. 基于身份的访问控制答案：B17.根据PPDR模型：A.一个信息系统的安全保障体系应当以人为核心，防护、检测和恢复组成一个完整的、动态的循环B.判断一个系统系统的安全保障能力，主要看安全策略的科学性与合理性，以及安全策略的落实情况C.如果安全防护时间小于检测时间加响应时间，这该系统一定是不安全的D.如果一个系统的安全防护时间为0，则系统的安全

9、性取决于暴露时间答案：D18.下列有关密码学的说法中错误的是：A. 密码学是研究信息系统安全保密的科学。由两个相互对立、相互斗争，而且又相辅相成、相互促进的分支科学所组成的，分别称为密码编码学和密码分析学。B. 密码编码学是对密码体制、密码体制的输入输出关系进行分析，以便推出机密变量、包括明文在内的敏感数据。C. 密码分析学主要研究加密消息的破译或消息的伪造。D. 密码编码学主要研究对信息进行编码，实现对信息的隐蔽。答案：B19.非对称密码算法具有很多优点，其中不包括：A. 可提供数字签名、零知识证明等额外服务B. 加密/解密速度快，不需占用较多资源C. 通信双方事先不需要通过保密信道交换密钥

10、D. 密钥持有量大大减少答案：B20.下列哪一项准确描述了哈希算法、数字签名和对称密钥算法所提供的功能？A身份鉴别和完整性，完整性，机密性和完整性B完整性，身份鉴别和完整性，机密性和可用性C完整性，身份鉴别和完整性，机密性D完整性和机密性，完整性，机密性答案：C21.下列哪一种密码算法是基于大数分解难题的？ A. ECCB. RSAC. DESD. Diffie-Hellman答案：B22.一名攻击者试图通过暴力攻击来获取下列哪一项信息？A加密密钥B加密算法C公钥D密文答案：A23.下列哪一个是PKI体系中用以对证书进行访问的协议? A. SSLB. LDAPC. CAD. IKE答案：B24

11、.下列哪一项信息不包含在X.509规定的数字证书中？A. 证书有效期B. 证书持有者的公钥C. 证书颁发机构的签名D. 证书颁发机构的私钥答案：D25.以下对于IPsec协议说法正确的是：A. 鉴别头（AH）协议，不能加密包的任何部分B. IPsec工作在应用层，并为应用层以下的网络通信提供VPN功能C. IPsec关注与鉴别、加密和完整性保护，密钥管理不是IPsec本身需要关注的D.在使用传输模式时，IPsec为每个包建立一个新的包头，而在隧道模式下使用原始包头答案：A26.下面安全套接字层协议（SSL）的说法错误的是？A. 它是一种基于web应用的安全协议B. 由于SSL是内嵌在浏览器中的

12、，无需安全客户端软件，所以相对于IPSec更简单易用C. SSL与IPSec一样都工作在网络层D. SSL可以提供身份认证、加密和完整性校验的功能答案：C27.构成IPSec的主要安全协议不包括下列哪一项：A. ESPB. DSSC. IKED. AH 答案：B28.指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例：A. 你是什么B. 你有什么C. 你知道什么D. 你做了什么 答案：A29.从分析方式上入侵检测技术可以分为：A、基于标志检测技术、基于状态检测技术B、基于异常检测技术、基于流量检测技术C、基于误用检测技术、基于异常检测技术D、基于标志检测技术、基于误用检测技术答案：C30.某种

13、防火墙的缺点是没有办法从非常细微之处来分析数据包，但它的优点是非常快，这种防火墙是以下的哪一种？A. 电路级网关B. 应用级网关C. 会话层防火墙D. 包过滤防火墙答案：D31. 设备可以隔离 ARP 广播帧。A路由器 B网桥 C以太网交换机 D集线器 答案：A32.下列哪个协议可以防止局域网的数据链路层的桥接环路：A. HSRPB. STPC. VRRPD. OSPF答案：B33.下列哪一项不是IDS可以解决的问题？A. 弥补网络协议的弱点B. 识别和报告对数据文件的改动C. 统计分析系统中异常活动模式D. 提升系统监控能力答案：A34.从部署结构来看，下列哪一种类型的防火墙提供了最高安全性

14、？A屏蔽路由器B双宿堡垒主机C屏蔽主机防火墙D屏蔽子网防火墙答案：D35.下面哪类设备常用于风险分析过程中，识别系统中存在的脆弱性？A. 防火墙B. IDSC. 漏洞扫描器D. UTM答案：C36.当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员无需查看：A. 访问控制列表B. 系统服务配置情况C. 审计记录D. 用户帐户和权限的设置答案：C37.网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内部信息部不外泄的前提下，完成网络间数据的安全交换。下列隔离技术中，安全性最好的是 。A多重安全网关B防火墙CVLAN隔离D物理隔离答案：D38

15、.在Windows XP中用事件查看器查看日志文件，可看到的日志包括 。 A用户访问日志、安全性日志、系统日志和IE日志B应用程序日志、安全性日志、系统日志和IE日志C网络攻击日志、安全性日志、记帐日志和IE日志D网络连接日志、安全性日志、服务日志和IE日志答案：B39.下列对windows服务的说法错误的是（）A. 为了提升系统的安全性管理员应尽量关闭不需要的服务B. 可以作为独立的进程运行或以DLL的形式依附在Svchost.exeC. windows服务只有在用户成功登录系统后才能运行D. windows服务通常是以管理员的身份运行的答案：C40.在window系统中用于显示本机各网络端

16、口详细情况的命令是：A. netshowB. netstatC. ipconfigD. netview答案：B41.在Unix/Linux系统中，口令是以加密的方式存储的，会出现在哪个文件中？A、/etc/passwdB、/etc/shadowC、/etc/default/passwdD、/etc/default/shadow答案：B42.Windows NT中的组策略适用于：A.S：站点B.D：域C.OU：组织单位D.S，D，OU。43.以下关于数据库安全的说法错误的是？A. 数据库系统的安全性很大程度上依赖于DBMS的安全机制B. 许多数据库系统在操作系统下以文件形式进行管理，因此利用操作

17、系统漏洞可以窃取数据库文件C. 为了防止数据库中的信息被盗取，在操作系统层次对文件进行加密是唯一从根本上解决问题的手段D. 数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护答案：C44.从安全的角度来看，数据库视图（view）的主要用途是：A. 确保相关完整性 B. 方便访问数据 C. 限制用户对数据的访问. D. 提供审计跟踪答案：C45.下面关于IIS报错信息含义的描述正确的是？ A. 401找不到文件B. 403禁止访问C. 404权限问题D. 500系统错误答案：B46.下列哪种病毒能对计算机硬件产生破坏？ACIHBCODE REDC维金D熊猫烧香答案：A47.下列

18、对于蠕虫病毒的描述错误的是：A.蠕虫的传播无需用户操作B.蠕虫会消耗内存或网络带宽，导致DOSC.蠕虫的传播需要通过“宿主”程序或文件D.蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成答案：C48.为了防止电子邮件中的恶意代码，应该用 方式阅读电子邮件。A纯文本 B网页 C程序 D会话答案：A49.为了应对日益严重的垃圾邮件问题，人们设计和应用了各种垃圾邮件过滤机制，以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制：A. SMTP身份认证B. 逆向名字解析C. 黑名单过滤D. 内容过滤答案：D50.无论是哪一种web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系

19、统安全漏洞属于：A. 设计型漏洞B. 开发型漏洞C. 运行型漏洞D. 以上都不是答案：A51.基于攻击方式可以将黑客攻击分为主动攻击和被动攻击，下列哪一项不属于主动攻击？A. 中断B. 篡改C. 侦听D. 伪造答案：C52.关于数据库注入攻击的说法错误的是：A它的主要原因是程序对用户的输入缺乏过滤B一般情况下防火墙对它无法防范C对它进行防范时要关注操作系统的版本和安全补丁D注入成功后可以获取部分权限答案：C53.下列哪一项是DOS攻击的一个实例？A. SQL注入B. IP SpoofC. Smurf攻击D. 字典破解答案：C54.下列哪一项不是安全编程的原则：A. 尽可能使用高级语言进行编程

20、B. 尽可能让程序只实现需要的功能C. 不要信任用户输入的数据D. 尽可能考虑到意外的情况，并设计妥善的处理方法答案：A55.下面哪一项不属于微软SDL的七个阶段之一？A.培训B.需求C.销售D.验证答案：C56.下列对于Rootkit技术的解释不准确的是：A. Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具B. Rootkit是一种危害大、传播范围广的蠕虫C. Rootkit和系统底层技术结合十分紧密D. Rootkit的工作机制是定位和修改系统的特定数据，改变系统的正常操作流程答案：B57.下列对跨站脚本攻击（XSS）的解释最准确的一项是：A. 引诱用户点击虚假网络链接

21、的一种攻击方法 B. 构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问C. 一种很强大的木马攻击手段D. 将恶意代码嵌入到用户浏览的web网页中，从而达到恶意的目的答案：D58.以下哪一项是防范SQL注入攻击最有效的手段？A. 删除存在注入点的网页B. 对数据库系统的管理权限进行严格的控制C. 通过网络防火墙严格限制Internet用户对web服务器的访问D. 对web用户输入的数据进行严格的过滤答案：D59.下列哪一项是常见web站点脆弱性扫描工具：A. AppScanB. NmapC. SnifferD. LC答案：A60.下列哪一项是黑客用来实施DDOS攻击的工具：A. LC5

22、B. RootkitC.IceSwordD. Trinoo答案：D61.风险分析的目标是达到：A、风险影响和保护性措施之间的价值平衡B、风险影响和保护性措施之间的操作平衡C、风险影响和保护性措施之间的技术平衡D、风险影响和保护性措施之间的逻辑平衡答案：A62.对于信息系统访问控制说法错误的是? A. 应该根据业务需求和安全要求制定清晰的访问控制策略，并根据需要进行评审和改进B. 网络访问控制是访问控制的重中之重，网络访问控制做好了操作系统和应用层次的访问控制问题就可以得到解决C. 做好访问控制工作不仅要对用户的访问活动进行严格管理，还要明确用户在访问控制中的有关责任D. 移动计算和远程工作技术

23、的广泛应用给访问控制带来了新的问题，因此在访问控制工作中要重点考虑对移动计算设备和远程工作用户的控制措施答案：B63.下列哪一项较好地描述了组织机构的安全策略？ A. 定义了访问控制需求的总体指导方针B. 建议了如何符合标准C. 表明管理者意图的高层陈述D. 表明所使用的特定技术控制措施的高层陈述答案：C64.资产管理是信息安全管理的重要内容，而清楚的识别信息系统相关的资产，并编制资产清单是资产管理的重要步骤，下面关于资产清单的说法错误的是：A. 资产清单的编制是风险管理的一个重要的先决条件B. 信息安全管理中所涉及的资产是指信息资产，即业务数据、合同协议、培训材料等C. 在制定资产清单的时候

24、应根据资产的重要性、业务价值和安全分类，确定与资产重要性相对应的保护级别D. 资产清单中应当包括将资产从灾难中恢复而需要的信息，如资产类型、格式、位置、备份信息、许可信息等答案：B65.组织在实施与维护信息安全的流程中，下列哪一项不属于高级管理层的职责？A明确的支持B执行风险分析C定义目标和范围D职责定义与授权答案：B66.信息分类是信息安全管理工作的重要环节，下列哪一项不是对信息进行分类时需要重点考虑的？A. 信息的价值B. 信息的时效性C. 信息的存储方式D. 法律法规的规定答案：C67.下列哪一项关于对违反安全规定的员工进行惩戒的说法是错误的？A. 对安全违规的发现和验证是进行惩戒的重要

25、前提B. 惩戒措施的一个重要的意义在于它的威慑性C. 出于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训D. 尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重答案：C68.对信息安全风险评估工作成果理解正确的是：A信息安全风险评估工作的最重要成果是按高中低级排列的风险列表。B通过信息安全风险评估工作，不仅能够明确系统安全风险，还能够获得如何控制风险的详细建议。C信息安全风险评估工作最终成果是信息系统安全问题（脆弱点）列表。D信息安全风险评估工作最终成果是信息系统安全威胁列表。答案：A69.下列对“信息安全风险”的描述正确的是：A是来自外部的威胁利用了系统自身存在的脆弱性作

26、用于资产形成风险B是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险C是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险D是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险答案：A70.在冗余磁盘阵列中，下列不具有容错技术的是 。ARAID 0 BRAID 1CRAID 3 DRAID 5答案：A71.为了达到组织灾难恢复的要求，备份时间间隔不能超过：A服务水平目标(SLO)B恢复时间目标 (RTO)C恢复点目标 (RPO)D停用的最大可接受程度 (MAO)答案：C72.以下关于信息安全应急响应的说法错误的是：A. 明确处理安全事件的工作职责和工作流程是应急响应工

27、作中非常重要的一项内容B. 仅仅处理好紧急事件不是应急工作的全部，通过信息安全事件进行总结和学习也是很重要的C. 对安全事件的报告和对安全弱点的报告都是信息安全事件管理的重要内容D. 作为一个单位的信息安全主管，在安全事件中主要任务是排除事件的负面影响，而取证和追查完全是执法机关的事情答案：D73.下列对于信息安全事件分级的说法正确的是? A. 对信息安全事件的分级可以参考信息系统的重要程度、系统损失和应急成本三个要素B. 判断信息系统的重要程度主要考虑其用户的数量C. 判断系统损失大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价D. 根据有关要求国家机关的信息安全事件必须划分

28、为“重大事件”、“较大事件”和“一般事件”三个级别答案：C74.目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势。数据大集中就是将数据集中存储和管理，为业务信息系统的运行搭建了统一的数据平台。对这种做法的认识正确的是：A.数据库系统庞大会提高管理成本B.数据库系统庞大会降低管理效率C.数据的集中会降低风险的可控性D.数据的集中会造成风险的集中答案：D75.对程序源代码进行访问控制管理时，下列哪一种做法是错误的？ A. 若有可能，在实际生产系统中不保留源程序库B. 对源程序库的访问进行严格的审计C. 技术支持人员应可以不受限制地访问源程序D. 对源程序库的拷贝应受到严格的控制规程的制

29、约答案：C76.下列对系统日志信息的操作中哪一项是最不应当发生的：A. 对日志内容进行编辑B. 只抽取部分条目进行保存和查看C. 用新的日志覆盖旧的日志D. 使用专用工具对日志进行分析答案：A77.下列哪一项是对信息系统经常不能满足用户需求的最好解释? A. 没有适当的质量管理工具B. 经常变化的用户需求C. 用户参与需求挖掘不够D. 项目管理能力不强答案：C78.下列哪一种行为通常不是在信息系统生存周期中的运行维护阶段中发生的？A. 进行系统备份B. 管理加密密钥C. 认可安全控制措施D. 升级安全软件答案：C79.在信息安全管理工作中“符合性”的含义不包括哪一项？A. 对法律法规的符合B. 对安全策略和标准的符合C. 对用户预期服务效果的符合D. 通过审计措施来验证符合情况答案：C80.下列哪种方法能够满足双因子认证的需求？A智能卡和用户PINB用户ID与密码C虹膜扫描和指纹扫描D用户名和PIN答案：A81.系统工程是信息安全工程的基础学科，钱学森说：“系统工程是组织管理