cisp认证考试练习题和答案5套.docx
- 文档编号:8927876
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:136
- 大小:97.63KB
cisp认证考试练习题和答案5套.docx
《cisp认证考试练习题和答案5套.docx》由会员分享,可在线阅读,更多相关《cisp认证考试练习题和答案5套.docx(136页珍藏版)》请在冰点文库上搜索。
cisp认证考试练习题和答案5套
练习题一
1、关于信息安全保障,下列说法正确的是:
A、信息安全保障是一个客观到主观的过程,即通过采取技术、管理、工程等手段,对信息资源的保密性、完整性、可用性提供保护,从而给信息系统所有者以信心
B、信息安全保障的需求是由信息安全策略所决定的,是自上而下的一个过程,在这个过程中,决策者的能力和决心非常重要
C、信息系统安全并不追求万无一失,而是要根据资金预算,做到量力而行
D、以上说法都正确
2、人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:
A、为了更好的完成组织机构的使命
B、针对信息系统的攻击方式发生重大的变化
C、风险控制技术得到了革命性的发展
D、除了保密性,信息的完整性和可用性也引起了人们的关注
3、关于信息安全发展的几个阶段,下列说法中错误的是:
A、信息安全的发展,是伴随着信息技术的发展,为应对其面临不同的威胁而发展起来的
B、通信安全阶段中,最重要的是通过密码技术保证所传递信息的保密性、完整性和可用性
C、信息安全阶段,综合了通信安全阶段和计算机安全阶段的需求
D、信息安全保障阶段,最重要的目标是保障组织机构使命(或业务)的正常运行
4、按照技术能力、所拥有的资源和破坏力来排列,下列威胁中哪种威胁最大?
A、个人黑客
B、网络犯罪团伙
C、网络战士
D、商业间谍
5、信息系统安全主要从哪几个方面进行评估?
A、1个(技术)
B、2个(技术、管理)
C、3个(技术、管理、工程)
D、4个(技术、管理、工程、应用)
6、完整性机制可以防范以下哪种攻击?
A、假冒源地址或用户地址的欺骗攻击
B、抵赖做过信息的递交行为
C、数据传输中呗窃听获取
D、数据传输中呗篡改或破坏
7、对于P2DR安全模型的基本原理的描述,下面答案中不正确的是?
A、策略
B、检测
C、响应
D、加密
8、依据信息系统安全保障评估框架,确定安全保障需求考虑的因素不包括下列哪一方面?
A、法规政策的要求
B、系统的价值
C、系统要对抗的威胁
D、系统的技术构成
9、依据国家标准GB/T20274《信息系统安全保障评估框架》,在信息系统安全目标中,评估对象包括哪些内容?
A、信息系统管理体系、技术体系、业务体系
B、信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程
C、信息系统安全管理、信息系统安全技术和信息系统安全工程
D、信息系统组织机构、管理制度、资产
10、关于信息安全保障管理体系建设所需要重点考虑的因素,下列说法错误的是:
A、国家、上级机关的相关政策法规要求
B、组织的业务使命
C、信息系统面临的风险
D、项目的经费预算
11、在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于________。
A、明文
B、密文
C、密钥
D、信道
12、公钥密码的应用不包括:
A、数字签名
B、非安全信道的密钥交换
C、消息认证码
D、身份认证
13、以下哪项问题或概念不是公钥密码体制中经常使用到的困难问题?
A、大整数分解
B、离散对数问题
C、背包问题
D、伪随机数发生器
14、以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?
A、DSS
B、Diffie—Hellman
C、RSA
D、AES
15、hash算法的碰撞是指:
A、两个不同的消息,得到相同的消息摘要
B、两个相同的消息,得到不同的消息摘要
C、消息摘要和消息的长度相同
D、消息摘要比消息长度更长
16、DSA算法不提供以下哪种服务?
A、数据完整性
B、加密
C、数字签名
D、认证
17、下列哪一项功能可以不由认证中心CA完成?
A、撤销和中止用户的证书
B、产生并分发CA的公钥
C、在请求实体和它的公钥间建立链接
D、发放并分发用户的证书
18、以下哪一项不是PKI/CA要解决的问题:
A、可用性、身份鉴别
B、可用性、授权于访问控制
C、完整性、授权于访问控制
D、完整性、身份鉴别
19、IPSec协议的AH子协议不能提供下列哪一项服务?
A、数据源认证
B、数据包重放
C、访问控制
D、机密性
20、以下关于VPN说法正确的是:
A、VPN指的是用户自己租用线路,和公共网络完全隔离开,安全的通道
B、VPN是用户通过公用网络建立的临时的安全的通道
C、VPN不能做到信息验证和身份验证
D、VPN只能提供身份认证、不能提供加密数据的功能
21.下面对访问控制技术描述最准确的是:
A保证系统资源的可靠性
B实现系统资源的可追查性
C防止对系统资源的非授权访问
D保证系统资源的可信性
22.下列对自主访问控制说法不正确的是:
A自主访问控制允许客体决定主体对该客体的访问权限
B自主访问控制具有较好的灵活性和可扩展性
C自主访问控制可以方便地调整安全策略
D自主访问控制安全性不高,常用于商业系统
23.下列对常见强制访问控制模型说法不正确的是:
A.BLP模型影响了许多其他访问控制模型的发展
B.Clark-wilson模型是一种以事务处理为基本操作的完整性模型
C.ChineseWall模型是一个只考虑完整性的完全策略模型
D.Biba模型是一种在数学上与BLP模型对偶的完整性保护模型
24.以下关于BLP模型规则说法不正确的是:
A.BLP模型主要包括简单安全规则和*-规则
B.*-规则可以简单表述为向下写
C.主体可以读客气,当且仅当主体的安全级可以支配课题的安全级,且主体对该客体具有自主型读权限
D.主体可以写客体,当且仅当客体的安全级可以支配主体的安全级,且主体对客体具有自主型写权限
25.在一个使用ChineseWall模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个信息兴趣冲突域中,那么可以确定一个新注册的用户:
A.只有访问了W之后,才可以访问X
B.只有访问了W之后,才可以访问Y和Z中的一个
C.无论是否访问W,都只能访问Y和Z中的一个
D.无论是否访问W,都不能访问Y或Z
26.以下关于RBAC模型的说法正确的是:
A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限。
B.一个用户必须扮演并激活某种角色,才能对一个对象进行访问或执行某种操作
C.在该模型中,每个用户只能有一个角色
D.在该模型中,权限与用户关联,用户与角色关联
27.以下对kerberos协议过程说法正确的是:
A.协议可以分为两个步骤:
一是用户身份鉴别,二是获取请求服务
B.协议可以分为两个步骤:
一是获得票据许可票据,二是获取请求服务
C.协议可以分为三个步骤:
一是用户身份鉴别,二是获得票据许可票据,三是获得服务许可票据
D.协议可以分为三个步骤:
一是获得票据许可票据,而是获得服务许可票据,三是获得服务
28.以下对于非集中访问控制中“域”说法正确的是:
A.每个域的访问控制与其他域的访问控制相互关联
B.跨域访问不一定需要建立信任关系
C.域中的信任必须是双向的
D.域是一个共享同一安全策略的主体和客体的集合
29.以下对单点登录技术描述不正确的是:
A.单点登录技术实质是安全凭证在多个用户之间的传递和共享
B.使用单点登录技术用户只需在登录是进行一次注册,就可以访问多个应用
C.单点登录不仅方便用户使用,而且也便于管理
D.使用单点登录技术能简化应用系统的开发
30.下列对审计系统基本组成描述正确的是:
A.审计系统一般包含三个部分:
日志记录、日志分析和日志处理
B.审计系统一般包含两个部分:
日志记录和日志处理
C.审计系统一般包含两个部分:
日志记录和日志分析
D.审计系统一般包含三个部分:
日志记录、日志分析和日志报告
31.在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A.加密
B.数字签名
C.访问控制
D.路由控制
32.下面那一项内容更准确地描述了网络接口层(即数据链路层)可能存在的安全攻击?
A.ARP欺骗、分片攻击、synflood等
B.ARP欺骗、macflooding、嗅探等
C.死亡之ping、macflooding、嗅探等
D.IP源地址欺骗、ARP欺骗、嗅探等
33、WPA2包含下列哪个协议标准的所有安全特性?
A、IEEE802.11b
B、IEEE802.11c
C、IEEE802.11g
D、IEEE802.11i
34、下面对WAPI描述不正确的是:
A、安全机制由WAI和WPI两部分组成
B、WAI实现对用户身份的鉴别
C、WPI实现对传输的数据加密
D、WAI实现对传输的数据加密
35、下列关于防火墙的主要功能包括:
A、访问控制
B、内容控制
C、数据加密
D、直杀病毒
36、简单包过滤防火墙主要工作在
A、链路层/网络层
B、网络层/传输层
C、应用层
D、会话层
37、以下哪一项不是应用层防火墙的特点?
A、更有效的阻止应用层攻击
B、工作在OSI模型的第七层
C、速度快且对用户透明
D、比较容易进行审计
38、下面哪一项不是IDS的主要功能:
A、监控和分析用户和系统活动
B、统一分析异常活动模式
C、对被破坏的数据进行修复
D、识别活动模式以反映已知攻击
39、下列哪些选择不属于NIDS的常见技术?
A、协议分析
B、零拷贝
C、SYNCookie
D、IP碎片重组
40、下面哪一项是对IDS的正确描述?
A、基于特征(Signature-based)的系统可以检测新的攻击类型
B、基于特征(Signature-based)的系统比基于行为?
(behavior-based)的系统产生更多的误报
C、基于行为(behavior-based)的系统维护状态数据库与数据包和攻击相匹配
D、基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报
41.在UNIX系统中输入命令“Is–altest”显示如下
“-rwxr-xr-x3rootroot1024Sep1311:
58test”
对它的含义解释错误的是:
A.这是一个文件,而不是目录
B.文件的拥有者可以对这个文件进行读、写和执行的操作
C.文件所属组的成员有可以读它,也可以执行它
D.其它所有用户只可以执行它
42.以下关于linux超级权限的说明,不正确的是:
A.一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成
B.普通用户可以通过su和sudo来获得系统的超级权限
C.对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行
D.root是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限
43.Windows系统下,哪项不是有效进行共享安全的防护措施?
A.使用netshare\\127.0.0.1\c$/delete命令,删除系统中的c$等管理共享,并重启系统
B.确保所有的共享都有高强度的密码防护
C.禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值
D.安装软件防火墙阻止外面对共享目录的连接
44.以下对于Windows系统的服务描述,正确的是:
A.windows服务必须是一个独立的可执行程序
B.Windows服务的运行不需要用户的交互登录
C.windows服务都是随系统启动而启动,无需用户进行干预
D.windows服务都需要用户进行登录后,以登录用户的权限进行启动
45.以下关于windowsSAM(安全账户管理器)的说法错误的是:
A.安全账户管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam
B.安全账户管理器(SAM)存储的账号信息是存储在注册表中
C.安全账户管理器(SAM)存储的账号信息对administrator和system是可读和可写的
D.安全账户管理器(SAM)是windows的用户数据库,系统进程通过SecurityAccountsManager服务进行访问和操作
46.下列SQL语句给出关系型数据库中的哪一类完整性约束条件?
CREATETABLEStudent
(idCHAR(8),
SnameCHAR(20)NOTNULL,
SageSMALLINT,
PRIMARYKEY(id)
);
A.实体完整性
B.二维表完整性
C.参照完整性
D.自定义完整性
47.完整性检查和控制的防范对象是,防止它们进入数据库。
A.不合语义的数据、不正确的数据
B.非法用户
C.非法操作
D.非法授权
48.下列哪一项与数据库的安全有直接关系?
A.访问控制的粒度
B.数据库的大小
C.关系表中属性的数量
D.关系表中元组的数量
49.以下哪一项不是IIS服务器支持的访问控制过滤类型?
A.网络地址访问控制
B.web服务器许可
C.NTFS许可
D.异常行为过滤
50.ApacheWeb服务器的匹配文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:
A.httpd.conf
B.srm.conf
C.access.conf
D.inetd.conf
51.下列哪个是病毒的特性?
A.不感染、依附性
B.不感染、独立性
C.可感染、依附性
D.可感染、独立性
52、杀毒软件报告发现病毒Macro.Melissa,有该病毒名称可以推断出病毒类型是
A、文件型
B、引导型
C、目录型
D、宏病毒
53.下列那一项不是信息安全数据的载体?
A.网络协议
B.操作系统
C.应用系统
D.业务数据
54.下列哪些措施不是有效的缓冲区溢出的防护措施?
A.使用标准的C语言字符串库进行操作
B.严格验证输入字符串长度
C.过滤不合规则的字符
D.使用第三方安全的字符串库操作
55.在某个攻击中,由于系统用户或系统管理员主动泄露,使得攻击者可以访问系统资源的行为被称作:
A.社会工程
B.非法窃取
C.电子欺骗
D.电子窃听
56.通过向被攻击者发送大量的ICMP回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效的网络信息流时,这种攻击称之为:
A.Land攻击
B.Smurf攻击
C.PingofDeath攻击
D.ICMPFlood
57.以下哪个攻击步骤是IP欺骗(IPSpoof)系统攻击中最关键和难度最高的?
A.对被冒充的主机进行拒绝服务攻击,使其无法对目标主机进行响应
B.与目标主机进行会话,猜测目标主机的序号规则
C.冒充受信主机想目标主机发送数据包,欺骗目标主机
D.向目标主机发送指令,进行会话操作
58.下面对国家秘密定级和范围的描述中,哪项不符合《保守国家秘密法》要求:
A、国家秘密和其密级的具体范围,由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关规定
B、各级国家机关、单位对所产生的秘密事项,应当按照国家秘密及其密级的具体范围的规定确定密级
C、对是否属于国家和属于何种密级不明确的事项,可有各单位自行参考国家要求确定和定级,然后报国家保密工作部门备案。
D、对是否属于国家和属于何种密级不明确的事项,由国家保密工作部门,省、自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定
59.以下哪个不是SDL的思想之一?
A、SDL是持续改进的过程,通过持续改进和优化以适用各种安全变化,追求最优效果
B、SDL要将安全思想和意识嵌入到软件团队和企业文化中
C、SDL要实现安全的可度量性
D、SDL是对传统软件开发过程的重要补充,用于完善传统软件开发中的不足
60、以下针对SDL需求分析的描述最准确的是:
A、通过安全需求分析,确定软件安全需要的安全标准和相关要求
B、通过安全需求分析,确定软件安全需要的安全技术和工作流程
C、通过安全需求分析,确定软件安全需要的安全标准和安全管理
D、通过安全需求分析,确定软件安全需要的安全技术和安全管理
61、信息安全管理者需要完成方方面面的繁杂工作,这些日常工作根本的目标是:
A、避免系统软硬件的损伤
B、监视系统用户和维护人员的行为
C、保护组织的信息资产
D、给入侵行为制造障碍,并在发生入侵后及时发现、准确记录
62、下面对PDCA模型的解释不正确的是:
A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动
B、是一种可以应用于信息安全管理活动持续改进的有效实践方法
C、也被称为“戴明环”
D、适用于对组织整体活动的优化,不适合单个的过程以及个人
63、以下对PDCA循环特点描述不正确的是:
A、按顺序进行,周而复始,不断循环
B、组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
C、每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
D、可以由任何一个阶段开始,周而复始,不断循环
64、在PDCA模型中,ACT(处置)环节的信息安全管理活动是:
A、建立环境
B、实施风险处理计划
C、持续的监视与评审风险
D、持续改进信息安全管理过程
65、下述选项中对于“风险管理”的描述正确的是:
A、安全必须是完美无缺、面面俱到的
B、最完备的信息安全策略就是最优的风险管理对策
C、在应对信息安全风险时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍
D、防范不足就会造成损失;防范过多就可以避免损失
66、在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是:
A、分析系统的体系结构
B、分析系统的安全环境
C、制定风险管理计划
D、调查系统的技术特性
67、风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下说法中哪一个是正确的?
A、风险分析准备的内容是识别风险的影响和可能性
B、风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度
C、风险分析的内容是识别风险的影响和可能性
D、风险结果判定的内容发现系存在的威胁、脆弱性和控制措施
68、应对信息安全风险的主要目标是什么?
A、消除可能会影响公司的每一种威胁
B、管理风险,以使由风险产生的问题降至最低限度
C、尽量多实施安全措施以消除资产暴露在其下的每一种风险
D、尽量忽略风险,不使成本过高
69、风险是需要保护的()发生损失的可能性,它是()和()综合结果
A、资产,攻击目标,威胁事件
B、设备,威胁,漏洞
C、资产,威胁,漏洞
D、以上都不对
70、下列对风险分析方法的描述正确的是:
A、定量分析比定性分析方法使用的工具更多
B、定性分析比定量分析方法使用的工具更多
C、同一组织只用使用一种方法进行评估
D、符合组织要求的风险评估方法就是最优方法
71、下列哪种处置方法属于转移风险?
A、部署综合安全审计系统
B、对网络行为进行实时监控
C、制订完善的制度体系
D、聘用第三方专业公司提供维护外包服务
72、在对安全控制进行分析时,下面哪个描述是不准确的?
A、对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是有效的
B、应确保选择对业务效率影响最小的安全措施
C、选择好实施安全控制的时机和位置,提高安全控制的有效性
D、仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽负面效应
73、某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负责任?
A、部门经理
B、高级管理层
C、资产所有者
D、最终用户
74、信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项安全策略文档中不包含的内容:
A、说明信息安全对组织的重要程度
B、介绍需要符合的法律法规要求
C、信息安全技术产品的选型范围
D、信息安全管理责任的定义
75、以下关于“最小特权”安全管理原则理解正确的是:
A、组织机构内的敏感岗位不能由一个人长期负责
B、对重要的工作进行分解,分配给不同人员完成
C、一个人有且仅有其执行岗位所足够的许可和权限
D、防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
76、当员工或外单位的工作人员离开组织或岗位变化时,必须进行以下的管理程序除了:
A、明确此人不再具有以前的职责
B、确保归还应当归还的资产
C、确保属于以前职责的访问权限被撤销
D、安全管理员陪同此人离开工作场所
77、在一个有充分控制的信息处理计算中心中,下面哪项任务可以由同一个人执行?
A、安全管理和变更管理
B、计算机操作和系统开发
C、系统开发和变更管理
D、系统开发和系统维护
78.根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:
A.系统级演练、业务级演练、应用级演练
B.系统级演练、应用级演练、业务级演练
C.业务级演练、应用级演练、系统级演练
D.业务级演练、系统级演练、应用级演练、
79.以下哪种情形下最适合使用同步数据备份策略?
A.对灾难的承受能力高
B.恢复时间目标(RTO)长
C.恢复点目标(RTO)短
D.恢复点目标(RTO)长
80.当备份一个应用程序系统的数据时,以下哪一项是应该首先考虑的关键性问题?
A.什么时候进行备份?
B.在哪里进行备份?
C.怎样存储备份?
D.需要备份哪些数据?
81.下面有还能力成熟度模型的说法错误的是:
A.能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类
B使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域
C.使用组织机构成熟方案时,每一个能力级别都对应于一组已经定义好的过程域
D.SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型
82.下面对于SSE-CMM保证过程的书法错误的是:
A.保证是指安全需求得到满足的可信任程度
B.信任程度来自于对安全工程过程结果质量的判断
C.自验证与证实安全的主要手段包括观察、论证、分析和测试
D.PA“建立保证论据”为PA“验证与证实安全”提供了证据支持
83.下面对能力成熟度模型解释最准确的是:
A.它认为组织的能力依赖于严格的定义、管理的完善、可测可控的有效业务过程
B.它通过严格考察工程成果来判断工程能力
C.它与统计过程控制理论的出发点不同,所以应用于不同领域
D.它明确定义了3个不同的成熟度等级
84、下列哪一项不是信息系统安全工程能成熟度模型(SSE-CMM)的主要过程:
A、风险过程
B、保证过程
C、工程过程
D、评估过程
85、
86、一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的规范的定义?
A、2级——计划和跟踪
B、3级——充分定义
C、4级——量化控制
D、5级——持续改进
88、信息安全工程监理工程师不需要做的工作是:
A、编写验收测试方案
B、审核验收测试方案
C、监督验收测试过程
D、审核验收测试报告
89、信息安全工程监理的作用不包括下列哪一项?
A、弥补建设单位在技术与管理上的经验不足
B、对建设方在系统运维管理方面提供技术指导
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- cisp 认证 考试 练习题 答案