CISP课后练习题-4
CISP试题及答案详解
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】 B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】 C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP题库含答案(复核整理版)
中国信息安全测评中心CISP认证模拟试题中电运行信息安全网络技术测评中心编辑1.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?A.提高信息技术产品的国产化率B.保证信息安全资金投入C.加快信息安全人才培养D.重视信息安全应急处理工作2.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?A.强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程B.强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标C.以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心D.通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征3.以下关于信息系统安全保障是主观和客观的结合说法最准确的是:A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全B.通过技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C.是一种通过客观证据向信息系统评估者提供主观信心的活动D.是主观和客观综合评估的结果4.与PDR模型相比,P2DR模型多了哪一个环节?A.防护B.检测C.反应D.策略5.在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于_______。
A.明文B.密文C.密钥D.信道6.通过对称密码算法进行安全消息传输的必要条件是:A.在安全的传输信道上进行通信B.通讯双方通过某种方式,安全且秘密地共享密钥C.通讯双方使用不公开的加密算法D.通讯双方将传输的信息夹杂在无用信息中传输并提取7.以下关于代替密码的说法正确的是:A.明文根据密钥被不同的密文字母代替B.明文字母不变,仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作移位8.AES在抵抗差分密码分析及线性密码分析的能力比DES更有效,已经替代DES成为新的数据加密标准。
CISP模拟练习题350道(带答案)
CISP模拟练习题350道(带答案)- - 1 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------中国信息安全测评中心CISP认证模拟试题中电运行信息安全网络技术测评中心编辑- - 2 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------1.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?A.提高信息技术产品的国产化率B.保证信息安全资金投入C.加快信息安全人才培养D.重视信息安全应急处理工作2.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?A.强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程B.强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标C.以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心D.通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征3.以下关于信息系统安全保障是主观和客观的结合说法最准确的是:A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全B.通过技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C.是一种通过客观证据向信息系统评估者提供主观信心的活动D.是主观和客观综合评估的结果4.与PDR模型相比,P2DR模型多了哪一个环节?A.防护B.检测C.反应D.策略5.在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于_______。
CISP试题-模拟题4_CISP试题_CISP试题
CISP模拟考试(四)1、以下哪一项对安全风险的描述是准确的?A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。
B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。
C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性D、安全风险是指资产的脆弱性被威胁利用的情形。
2、以下哪些不属于脆弱性范畴?A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯3、依据信息系统安全保障模型,以下那个不是安全保证对象A、机密性B、管理C、过程D、人员4、系统审计日志不包括以下哪一项?A、时间戳B、用户标识C、对象标识D、处理结果5、TCP三次握手协议的第一步是发送一个:A、SYN包B、SCK包C、UDP包D、NULL包6、以下指标可用来决定在应用系统中采取何种控制措施,除了A、系统中数据的重要性B、采用网络监控软件的可行性C、如果某具体行动或过程没有被有效控制,由此产生的风险等级D、每个控制技术的效率,复杂性和花费8、用户如果有熟练的技术技能且对程序有详尽的了解,就能巧妙的避过安全性程序,对生产程序做出更改。
为防止这种可能,要增强:A、工作处理报告的复查B、生产程序于被单独控制的副本之间的比较C、周期性测试数据的运行D、恰当的责任分割9、程序安全对应用安全有很大的影响,因此安全编程的一个重要环节。
用软件工程的方法编制程序是保证安全的根本。
在程序设计阶段,推荐使用的方法有:a 建立完整的与安全相关的程序文件b 严格控制程序库c 正确选用程序开发工具d 制定适当的程序访问控制A. a、b、c、dB. a、b、cC. b、c、dD. b、c10、Chinese Wall模型的设计宗旨是:A、用户只能访问那些与已经拥有的信息不冲突的信息B、用户可以访问所有的信息C、用户可以访问所有已经选择的信息D、用户不可以访问那些没有选择的信息11、对不同的身份鉴别方法所提供的防止重用攻击的功效从大到小排列:A、仅用口令,口令及各人识别号(PIN),口令响应,一次性口令B、口令几个人识别号(PIN)口令响应,一次性口令,仅由口令C、口令响应,一次性口令,口令及个人识别号(PIN),仅有口令D、口令响应,口令及个人识别号(PIN),一次性口令,仅有口令12、下面那个协议在TCP/IP协议的低层起作用?A、SSLB、SKIPC、S-HTTPD、S-PPC13、SSE-CMM,即系统安全工程一能力成熟度模型,它包含五个级别,其中计划和跟踪级着重于A、定义B、计划C、测量D、实施14、UDP端口扫描的依据是:A、根据扫描对放开房端口返回的信息判断B、根据扫描对方关闭端口返回的信息判断C、综合考虑A和B的情况进行判断D、既不根据A也不根据B15、企业内部互联网可以建立在企业内部网络上或是互联网上。
CISP试题及答案 9套题
培训模拟考试(二)CISP莁莇姓名:单位:袆端口?使用哪个TCP.1FTP芄D.53A.21 B.23 C.110螁肈使用哪个端口?认证协议的一种?)2.TACACS(终端访问控制器访问控制系统,AAA蚃D.UDP 49.TCP 69 B.TCP 49 (TACACS+) C.UDP 69A莂膀轻量目录访问协议,根据目录树的结构给予不同的员工使用哪个端口?(LDAP3.LDAP袈组不同的权限)C.UDP 139D.UDP 389.TCP 119 A.TCP 139 B 螄蒁4.FINGER服务使用哪个TCP端口?(Finger服务可用于查询用户的信息,包括网上成薀员的真实姓名、用户名、最近登录时间和地点等,要关闭)D.70 C.79 69 B.119 A.蕿螆5.DNS 查询(queries)工具中的DNS服务使用哪个端口?螃D.TCP 53C.UDP 23.A UDP 53 B.TCP 23 聿荿6.在零传输(Zone transfers)中DNS服务使用哪个端口?薃.ATCP 53B. UDP 53C.UDP 23D. TCP 23羂.蒈7.哪个端口被设计用作开始一个SNMP Trap?聿D. TCP 169B. UDP 161C.UDP 162A.TCP 161 蚄芄8.在C/S环境中,以下哪个是建立一个完整TCP连接的正确顺序?膂ACK ,ACK,ACK B.Passive Open,Active OpenA.SYN,SYN/ACK,薆ACK D.Active Open /Passive Open ACK/SYN,ACK ,ACK,C.SYN,蚆莂9.TCP/IP的通信过程是?薁> ——,——SYN/ACK————>,<ACKA.——SYN/ACK芆> ——<——SYN/ACK——,——ACKB.——SYN/ACK——>,蒃ACK——,——ACK,——SYN——><——,C.——SYN——><薁>,<——SYN/ACK——,——ACK——SYND.————>羀肆10.TCP握手中,缩写RST指的是什么?薅RestD..Response CReply State.AResetB.袃蒀11.191.64.12.22是哪类地址?螇类D.D.CC类类.AA类B.B蚆羁12.255.0.0.0是哪类网址的默认MASK?衿DD CC BB AA.类.类.类.类薇.蒃MASK?.255.255.255.0是哪类网址的默认13莄DD.类C.C类A.A类B.B类艿芈模型中哪一层最难进行安全防护?14.OSI蒅D.表示层C.应用层.网络层A B.传输层蒂羂端口运行?在哪个TCP15.Rlogin肈271D.C.212 B A.114 .513 薆薁7层的对应关系?16.以下哪个标准描述了典型的安全服务和OSI模型中莁IATF D.BS 7799 B.C.通用评估准则A.ISO/IEC 7498-2螈莃的哪一层?SSH的用户鉴别组件运行在OSI17.羃D.物理层.会话层 C .传输层A B.网络层袁葿地址是多少位?.Ethernet MAC18莅.48位位位C.24 D B36A.位.32肁芀MasterCard共同开发的用于信用卡交易的安全协议是什么?Visa19.和艿DES.三重.CPPTP D (安全电子交易协议)..ASSLBSET蒆) 安全电子交易协议secure Electronic Transaction(SET蒄.20.互联网的管理是?虿.半分布式的D C B.半集中式的.分布式的A.集中式的罿芄21.互联网目前主要使用以下哪个协议?薂MAP. D C.TCP/IPA.SNAB.DECnet 薁羈22.以下哪个是被动攻击的例子?螇D.消息删减C.消息延迟A.通信量分析B.消息修改膂羀23.以下哪个不属于防火墙典型的组件或者功能?蚈.数据包路由.扩展的日志容量D B.应用网关CA.协议过滤袈薅24.挑选密码算法最重要应该考虑?蚃D .专利和授权.速度和专利C.速度和安全.安全和授权A B蒈蚆25.下面关于PGP和PEM说法不对的是?蚃A.它们都能加密消息都基于公钥C.它们用法一样D.B.它们都能签名膃技术腿26.Kerberos能够防止哪种攻击?蚇D .过程攻击.破坏性攻击B A.隧道攻击.重放攻击C肅薂27.以下哪个与电子邮件系统没有直接关系?罿X.400.X.500 D.PGP C.A.PEMB螈膄28.对防火墙的描述不对的是?羂.防火墙能够产生审计日志BA.防火墙能够执行安全策略蚀C.防火墙能够限制组织安全状况的暴露D.防火墙能够防病毒薆蒆29.下列几个OSI层中,哪一层既提供机密性服务又提供完整性服务?莁D.表示层.应用层?A.数据链路层B.物理层C莀薇30.下列几个OSI层中,哪一层能够提供访问控制服务?蚅.数据链路层.会话层D? B.表示层C A.传输层袀膀31.以下哪个是可以用于连接两个或多个局域网最简单的网络装置?虿D.防火墙C.网关A.路由器B.网桥螃薄32.以下哪个是局域网中常见的被动威胁?袁.消息服务的修改D欺骗IP C.嗅探A.拒绝式服务攻击B.蒆肅33.下列哪种设备是在OSI的多个层上工作的?羃D .中继器C.网关.网桥A B.路由器蚁薇34.“如果任何一条线路坏了,那么只有连在这条线路上的终端受影响。
CISP相关试题及答案集
1. 人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是出于:AA. 为了更好的完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的发展D. 除了保密性,信息的完整性和可用性也引起了人们的关注2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指:CA. 对抗级B. 防护级C. 能力级D. 监管级3. 下面对信息安全特征和范畴的说法错误的是:CA. 信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题,他随着信息技术的发展普及,以及产业基础,用户认识、投入产出而发展C. 信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术系统分为:BA. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件,安全防护措施六个部分5. 关于信息安全策略的说法中,下面说法正确的是:CA. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络???C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前,无法确定信息安全策略6. 下列对于信息安全保障深度防御模型的说法错误的是:CA. 信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
CISP试题及答案五套题
1.人们对信息平安的认识从信息技术平安开展到信息平安保障,主要是出于:A. 为了更好的完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的开展D. 除了保密性,信息的完整性和可用性也引起了人们的关注2.?GB/T 20274信息系统平安保障评估框架?中的信息系统平安保障级中的级别是指:A. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息平安特征和范畴的说法错误的选项是:A. 信息平安是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素B. 信息平安是一个动态的问题,他随着信息技术的开展普及,以及产业根底,用户认识、投入产出而开展C. 信息平安是无边界的平安,互联网使得网络边界越来越模糊,因此确定一个组织的信息平安责任是没有意义的D. 信息平安是非传统的平安,各种信息网络的互联互通和资源共享,决定了信息平安具有不同于传统平安的特点4. 美国国防部提出的?信息保障技术框架?〔IATF〕在描述信息系统的平安需求时,将信息技术系统分为:A. 内网和外网两个局部B. 本地计算机环境、区域边界、网络和根底设施、支撑性根底设施四个局部C. 用户终端、效劳器、系统软件、网络设备和通信线路、应用软件五个局部D. 信用户终端、效劳器、系统软件、网络设备和通信线路、应用软件,平安防护措施六个局部5. 关于信息平安策略的说法中,下面说法正确的选项是:A. 信息平安策略的制定是以信息系统的规模为根底B. 信息平安策略的制定是以信息系统的网络???C. 信息平安策略是以信息系统风险管理为根底D. 在信息系统尚未建立完成之前,无法确定信息平安策略6. 以下对于信息平安保障深度防御模型的说法错误的选项是:A. 信息平安外部环境:信息平安保障是组织机构平安、国家平安的一个重要组成局部,因此对信息平安的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
cisp试题及答案
cisp试题及答案在本文中,我们将提供CISP试题及答案,帮助读者更好地了解和准备CISP考试。
CISP(Certified Information Security Professional)是一个国际认可的信息安全专业资格认证,通过该认证可以证明个人在信息安全领域具备专业的知识与技能。
一、信息安全管理1. 信息安全管理是指对信息资产进行全面管理和保护的过程。
请简要介绍信息安全管理的目标和重要性。
信息安全管理的目标是保护信息资产的机密性、完整性和可用性,防止信息遭受未经授权的访问、损坏和泄露,并确保信息系统的可靠性和稳定性。
信息安全管理对于组织来说至关重要,可以降低信息安全风险,保护客户数据和企业敏感信息,维护业务连续性并遵守法律法规。
2. 请列举并简要介绍ISO/IEC 27001标准中的信息安全管理体系(ISMS)要素。
ISO/IEC 27001标准中的信息安全管理体系包括以下要素:- 上下文分析:了解和评估组织内外部环境,明确信息安全管理体系的范围和目标。
- 领导力承诺:组织领导层需对信息安全提供明确的承诺和支持,并制定相关政策和目标。
- 风险评估:全面识别、评估和管理信息资产的风险,制定相应的风险处理计划。
- 资产管理:对信息资产进行明确定义、分类和管理,包括信息的获取、使用、存储和销毁。
- 安全控制:通过采取适当的技术和管理措施,确保信息资产的安全性、完整性和可用性。
- 人员安全:建立适当的人员安全政策,包括招聘、培训和意识教育,以及离职员工信息的处理。
- 通信与运营管理:确保信息传输和处理的安全性,包括网络安全、供应商管理和监控措施。
- 环境安全:评估和管理物理环境的安全性,包括设备的安全维护和灾难恢复。
- 合规性管理:遵守法律法规和适用的信息安全要求,包括隐私保护和知识产权保护。
二、网络安全1. 阐述网络安全的概念,并列举常见的网络安全威胁。
网络安全主要涉及保护计算机网络和网络连接的安全性,防止网络系统遭受未经授权的访问、攻击和滥用。
CISP试题及答案多题版精编版
C I S P试题及答案多题版集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-1.以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2.以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3.以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】D4.企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A.不需要全体员工的参入,只要IT部门的人员参入即可B.来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】A5.信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A.ISMS是一个遵循PDCA模式的动态发展的体系B.ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D.ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】D6.PDCA特征的描述不正确的是A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D.信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7.以下哪个不是信息安全项目的需求来源A.国家和地方政府法律法规与合同的要求B.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志【答案】D8.ISO27001认证项目一般有哪几个阶段?A.管理评估,技术评估,操作流程评估B.确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D.基础培训,RA培训,文件编写培训,内部审核培训【答案】B9.构成风险的关键因素有哪些?A.人,财,物B.技术,管理和操作C.资产,威胁和弱点D.资产,可能性和严重性【答案】C10.以下哪些不是应该识别的信息资产?A.网络设备B.客户资料C.办公桌椅D.系统管理员【答案】C11.以下哪些是可能存在的威胁因素?BA.设备老化故障B.病毒和蠕虫C.系统设计缺陷D.保安工作不得力【答案】B12.以下哪些不是可能存在的弱点问题?A.保安工作不得力B.应用系统存在BugC.内部人员故意泄密D.物理隔离不足【答案】C13.风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A.只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C.可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D.资产识别务必明确责任人、保管者和用户【答案】B14.风险分析的目的是?A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】C15.对于信息安全风险的描述不正确的是?A.企业信息安全风险管理就是要做到零风险B.在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(RiskManagement)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP官方信息安全技术章节练习四
CISP官方信息安全技术章节练习四CISP信息安全技术章节练习四一、单选题。
(共50题,共100分,每题2分)1. 下列哪种恶意代码不具备“不感染、依附性”的特点?a、后门b、陷门c、木马d、蠕虫最佳答案是:d2. 下列哪个是蠕虫的特性?a、不感染、依附性b、不感染、独立性c、可感染、依附性d、可感染、独立性最佳答案是:d3. 以下哪一项是伪装成有用程序的恶意软件?a、计算机病毒b、特洛伊木马c、逻辑炸弹d、蠕虫程序最佳答案是:b4. 在应用层协议中,_______可使用传输层的TCP协议,又可用UDP协议。
a、SMTPb、DNSc、HTTPd、FTP最佳答案是:b5. 下面对于“电子邮件炸弹”的解释最准确的是:a、邮件正文中包含的恶意网站链接b、邮件附件中具有强破坏性的病毒c、社会工程的一种方式,具有恐吓内容的邮件d、在短时间内发送大量邮件的软件,可以造成目标邮箱爆满最佳答案是:d6. 在linux系统中拥有最高级别权限的用户是:a、rootb、administratorc、maild、nobody最佳答案是:a7. 视窗操作系统(Windows)从哪个版本开始引入安全中心的概念?a、WinNTSP6b、Win2000SP4c、WinXPSP2d、Win2003SP1最佳答案是:c8. Windows操作系统的注册表运行命令是:a、Regsvr32b、Regeditc、Regedit.mscd、Regedit.mmc最佳答案是:b9. SSL协议比IPSEC协议的优势在于:a、实现简单、易于配置b、能有效的工作在网络层c、能支撑更多的应用层协议d、能实现更高强度的加密最佳答案是:a10. VPN技术无法实现以下哪个服务?a、身份验证b、传输加密c、完整性校验d、可用性校验最佳答案是:d11. 下列哪些描述同SSL相关?a、公钥使用户可以交换会话密钥、解密会话密钥并验证数字签名的真实性b、公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密数据c、私钥使用户可以创建数字签名、验证数字签名的真实性并交换会话密钥d、私钥使用户可以创建数字签名、加密数据和解密会话密钥最佳答案是:b12. VPN系统主要用于_______。
CISP试题和答案-六套题
CISP试题和答案-六套题1C2A3D4B5C1、下列对于信息安全保障深度防御模型的说法错误的是:A、信息安全外部环境、信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下B、信息安全管理和工程,信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统C、信息安全人才体系,在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分D、信息安全技术方案:“从外面内,自下而上,形成边界到端的防护能力”2、人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:A、为了更好地完成组织机构的使命B、针对信息系统的攻击方式发生重大变化C、风险控制技术得到革命性的发展D、除了保密性,信息的完整性和可用性也引起了人们的关注3、关于信息保障技术框架(IATF),下列哪种说法是错误的?A、IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障B、IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全4、信息系统保护轮廓(ISPP)定义了___________A、某种类型信息系统的与实现无关的一组系统级安全保障要求B、某种类型信息系统的与实现相关的一组系统级安全保障要求C、某种类型信息系统的与实现无关的一组系统级安全保障目的D、某种类型信息系统的与实现相关的一组系统级安全保障目的5、下面对于信息安全特征和范畴的说法错误的是:A、信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术问题,还要考虑人员、管理、政策等众多因素B、信息安全是一个动态的问题,它随着信息技术的发展普及,以及产业基础、用户认识、投入产出而发展C、信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的D、信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点6C7A8B9C10D6、椭圆曲线密码方案是指:A、基于椭圆曲线上的大整数分解问题构建的密码方案B、通过椭圆曲线方程求解的困难性构建的密码方案C、基于椭圆曲线上有限域离散对数问题构建的密码方案D、通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案7、hash算法的碰撞是指:A、两个不同的消息,得到相同的消息摘要B、两个相同的消息,得到不同的消息摘要C、消息摘要和消息的长度相同D、消息摘要比消息长度更长8、Alice从Sue那里收到一个发给她的密文,其他人无法解密这个密文,Alice需要用哪个密钥来解密这个密文?A、Alice的公钥B、Alice的私钥C、Sue的公钥D、Sue的私钥9、数字签名应具有的性质不包括:A、能够验证签名者B、能够认证被签名消息C、能够保护被签名的数据机密性D、签名必须能够由第三方验证10、Alice有一个消息M通过密钥K和MAC算法生成一个MAC 为C(K,M),Alice将这个MAC附加在消息M后面发送给Bob,Bob用密钥K和消息M计算MAC并进行比较,这个过程可以提供什么安全服务?A、仅提供保密性B、仅提供不可否认性C、提供消息认证D、保密性和消息认证11C12C13B14C15B11、时间戳的引入主要是为了防止:A、死锁B、丢失C、重放D、拥塞12、与RSA(rivest,shamir,adleman)算法相比,DSS (digital signature standard)不包括:A、数字签名B、鉴别机制C、加密机制D、数据完整性13、在数字信封中,综合使用对称加密算法和公钥加密算法的主要原因是:A、混合使用两种加密方法可以增加破译者的难度,使其更加难以破译原文,从而保障信息的保密性B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种折中做法C、两种加密算法的混用,可以提高加密的质量,这是我国密码政策所规定的要求D、数字信封综合采用这两种算法为的是为了防止收到信息的一方否认他收到了该信息,即抗接受方抵赖14、下列哪个选项是公钥基础设施(PKI)的密钥交换处理流程?(1)接收者解密并获取会话密钥(2)发送者请求接收者的公钥(3)公钥从公钥目录中被发送出去(4)发送者发送一个由接收者的公钥加密过的会话密钥A、4,3,2,1B、2,1,3,4C、2,3,4,1D、2,4,3,115、IPSEC密钥协商方式有:A、一种,手工方式B、二种,手工方式、IKE自动协商C、一种,IKE自动协商D、二种,IKE自动协商、隧道协商16A17D18B19D20D16、以下哪一项不是工作在网络第二层的隧道协议:A、VTPB、L2FC、PPTPD、L2TP17、与PDR模型相比,P2DR模型多了哪一个环节?A、防护B、检测C、反应D、策略18、以下有关访问控制矩阵中行和列中元素的描述正确的是:A、行中放用户名,列中放对象名B、行中放程序名,列中放用户名C、列中放用户名,行中放设备名D、列中放标题,行中放程序19、下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互?A、强制访问控制(MAC)B、集中式访问控制(Decentralized Access Control)C、分布式访问控制(Distributed AccessControl)D、自主访问控制(DAC)20、以下哪一项不是BLP模型的主要任务:A、定义使得系统获得“安全”的状态集合B、检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态”C、检查系统的初始状态是否为“安全状态”D、选择系统的终止状态21D22A23A24B25D21、访问控制表与访问能力表相比,具有以下那个特点:A、访问控制表更容易实现访问权限的特点B、访问能力表更容易浏览访问权限C、访问控制表回收访问权限更困难D、访问控制表更适用于集中式系统22、在Clark-Wilson模型中哪一项不是保证完整性任务的?A、防止职权的滥用B、防止非授权修改C、维护内部和外部的一致性D、防止授权但不适当地修改23、以下对单点登录技术描述不正确的是:A、单点登录技术实质是安全凭证在多个用户之间的传递或共享B、使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用C、单点登录不仅方便用户使用,而且也便于管理D、使用单点登录技术能简化应用系统的开发24、鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:A、口令B、令牌C、知识D、密码25、系统审计日志不包括以下哪一项:A、时间戳B、用户标识C、对象标识D、处理结果26B27B28B29B30C26、以下哪一项不是审计措施的安全目标:A、发现试图绕过系统安全机制的访问B、记录雇员的工作效率C、记录对访问客体采用的访问方式D、发现越权的访问行为27、一个VLAN可以看做是一个:A、冲突域B、广播域C、管理域D、阻塞域28、以下对RADIUS协议说法正确的是:A、它是一种B/S结构的协议B、它是一项通用的认证计费协议C、它使用TCP通信D、它的基本组件包括认证、授权和加密29、UDP协议和TCP协议对应于ISO/OSI模型的哪一层?A、链路层B、传输层C、会话层D、表示层30、路由器的扩展访问控制列表能够检查流量的那些基本信息?A、协议,vtan id,源地址,目标地址B、协议,vian id,源端口,目标端口C、源地址,目地地址,源端口,目标端口,协议D、源地址,目地地址,源端口,目标端口,交换机端口号31A32B33B34C5B31、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行控制?A、ICMPB、IGMPC、ARPD、SNMP32、TCP采用第三次握手来建立一个连接,第二次握手传输什么信息:A、SYNB、SYN+ACKC、ACKD、FIN33、某个客户的网络现在可以正常访问Internet互联网,共有200台终端PC但此客户从ISP (互联网络服务提供商),互联网最好采取什么方法或技术:A、花更多的钱向ISP申请更多的IP地址B、在网络的出口路由器上做源NATC、在网络的出口路由器上做目的NATD、在网络出口处增加一定数量的路由器34、以下哪个一个项对“ARP”的解释是正确的:A、Access routing protocol----访问路由协议B、Access routing protocol----访问解析协议C、Address resolution protocol-地址解析协议D、Address recovery protocol-地址恢复协议35、下面对于X.25协议的说法错误的是?A、传输速率可达到56KbpsB、其优点是反复的错误校验颇为费时C、其缺点是反复的错误校验颇为费时D、由于它与TCP/IP协议相比处于劣势,所以渐渐被后者淘汰36D37C38D39B40D36、下列对于DMZ区的说法错误的是:A、它是网络安全防护的一个“非军事区”B、它是对“深度防御”概念的一种实现方案C、它是一种比较常用的网络安全域划分方式D、要想搭建它至少需要两台防火墙37、哪一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问连续的能力?A、包过滤防火墙B、状态监测防火墙C、应用网关防火墙D、以上都不是38、以下哪一项不属于入侵检测系统的功能A、监视网络上的通信数据流B、捕捉可疑的网络活动C、提供安全审计报告D、过滤非法的数据包39、下面哪一项不是通过IDS模型的组成部分:A、传感器B、过滤器C、分析器D、管理器40、下面哪一项是对IDS的正确描述?A、基于特征(Signature-based)的系统可以检测新的攻击类型B、基于特征(Signature-based)的系统化基于行为(behavior-based)的系统产生更多的误报C、基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配D、基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报41D42B43D44D45D41、可信计算技术不能:A、确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击B、确保密钥操作和存储的安全C、确保硬件环境配置、操作系统内核、服务及应用程序的完整性D、使计算机具有更高的稳定性42、chmod 744 test命令执行的结果是:A、test文件的所有者具有执行读写权限,文件所属的组合其它用户有读的权限B、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读的权限C、test文件的所有者具有执行读和执行权限,文件所属的组和其它用户有读的权限D、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读和写的权限43、Linux系统的用户信息保存在passwd中,某用户条目backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的是:A、backup账号没有设置登录密码B、backup账号的默认主目录是/var/backupsC、backup账号登陆后使用的shell是/bin/shD、backup账号是无法进行登录44、以下对windows账号的描述,正确的是:A、windows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除D、windows系统默认生成administration和guest两个账号,两个账号都可以改名和删除45、以下哪一项不是IIS服务器支持的访问控制过滤类型?A、网络地址访问控制B、web服务器许可C、NTFS许可D、异常行为过滤46D47C48B49D50C46、以下哪个对windows系统日志的描述是错误的?A、windows系统默认有三个日志,系统日志,应用程序日志,安全日志B、系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障C、应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息D、安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等47、为了实现数据库的完整性控制,数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据,完整性规则主要由三部分组成,以下哪一项不是完整性规则的内容?A、完整性约束条件B、完整性检查机制C、完整性修复机制D、违约处理机制48、数据库事务日志的用途是什么?A、事务日志B、数据恢复C、完整性约束D、保密性控制49、以下哪一项不是SQL语言的功能A、数据定义B、数据检查C、数据操纵D、数据加密50、以下哪一项是和电子邮件系统无关的?A、PEMB、PGPC、X.500D、X.40051C52C53C54D55D51、下面对于cookie的说法错误的是:A、cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息,从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法,而是用session验证方法52、电子商务安全要求的四个方面是:A、传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖B、存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证C、传输的安全性、数据的完整性、交易各方的身份认证和交易不可抵赖性D、存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性53、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:A、httpd.confB、srm.confC、access.confD、inetd.conf54、以下哪个是恶意代码采用的隐藏技术A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是55、下列那种技术不是恶意代码的生存技术?A、反跟踪技术B、加密技术C、模糊变换技术D、自动解压缩技术56B57B58D59D60D56、以下对于蠕虫病毒的说法错误的是:A、通常蠕虫的传播无需用户的操作B、蠕虫病毒的主要危害体现在对数据保密性的破坏C、蠕虫的工作原理与病毒相似,除了没有感染文件阶段D、是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序57、被以下哪种病毒感染后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响的,DNS和IIS服务遭到非法拒绝等。
CISP复习题(4)100题
信息安全专业人员知识测试试题(四)1.小陈学习了有关信息安全管理体系的内容后,认为组织建立信息安全管理体系并持续运行,比起简单地实施信息安全管理,有更大的作用,他总结了四个方面的作用,其中总结错误的是()A.可以建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查B.可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化C.可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心D.可以深化信息安全管理,提高安全防护效果,使组织通过国际标准化组织的ISO9001认证答案:2.随着“互联网”概念的普及,越来越多的新兴住宅小区引入了“智能楼宇”的理念,某物业为提供高档次的服务,防止网络主线路出现故障,保证小区内网络服务的可用,稳定、高效,计划通过网络冗余配置的是()。
A、接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响。
B、核心层、汇聚层的设备和重要的接入层设备均应双机设备。
C、规划网络IP地址,制定网络IP地址分配策略D、保证网络带宽和网络设备的业务处理能力具务冗余空间,满足业务高峰期和业务发展需求答案:3.小陈自学了风评的相关国家准则后,将风险的公式用图形来表示,下面F1,F2,F3,F4分别代表某种计算函数,四张图中,那个计算关系正确答案:4.在网络信息系统建设中部署防火墙,往往用于提高内部网络的安全防护能力。
某公司准备部署一台防火墙来保护内网主机,下列选项中部署位置正确的是()A.内网主机——交换机——防火墙——外网B.防火墙——内网主机——交换机——外网C.内网主机——防火墙——交换机——外网D.防火墙——交换机——内网主机——外网答案:5.下列关于软件安全开发中的BSI(Build Security In)系列模型说法错误的是()A、BISD、BSI系列模型强调应该使用工程化的方法来保证软件安全,即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分答案:解释:安全测试修改为安全知识。
CISP试题及答案-四套题
1 信息安全发展各阶段中,下面哪一项是信息安全所面临的主要威胁A病毒B非法访问C信息泄漏D-—-口令2.关于信息保障技术框架IATF,下列说法错误的是A IATF强调深度防御,关注本地计算环境,区域边境,网络和基础设施,支撑性基础设施等多个领域的安全保障B IATF强调深度防御,针对信息系统采取多重防护,实现组织的业务安全运作。
C IATF强调从技术,管理和人等多个角度来保障信息系统的安全D IATF 强调的是以安全检测访问监测和自适应填充“安全问责"为循环来提高网络安全3.美国国家安全局的《信息保障技术框架》IATF,在描述信息系统的安全需求时将信息系统分为A 内网和外网两个部分B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别4。
下面那一项表示了信息不被非法篡改的属性A 可生存性B 完整性C 准确性D 参考完整性5。
以下关于信息系统安全保障是主关和客观的结论说法准确的是A 信息系统安全保障不仅涉及安全技术,还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C 是一种通过客观保证向信息系统评估者提供主观信心的活动D6、一下那些不属于现代密码学研究A Enigma密码机的分析频率B —-C diffie-herrman密码交换D 查分分析和线性分析7。
常见密码系统包含的元素是:A. 明文、密文、信道、加密算法、解密算法B. 明文,摘要,信道,加密算法,解密算法C。
明文、密文、密钥、加密算法、解密算法D. 消息、密文、信道、加密算法、解密算法8。
公钥密码的应用不包括:A。
数字签名B. 非安全信道的密钥交换C。
CISP信息安全学习管理练习习题
1.依据有关标准,信息安全风险管理能够分为背景成立、风险评估,风险办理,赞同监察、监控审察和交流咨询等阶段。
模拟该流程。
文档《风险剖析报告》应属于哪个阶段的输出成就()。
A风险评估B风险办理C赞同监察D监控审察2.<p> 某单位在实行信息安全风险评估后,形成了若干文档,下边()中的文档不该属于风险评估 “ 准备 ” 阶段输出的文档。
</p>A《风险评估工作计划》,主要包含本次风险评估的目的、意义、范围、目标、组织构造、角色进度安排等内容B《风险评估方法和工具列表》,主要包含拟用的风险评估方法和测试评估工具等内容C《已有安全举措列表》,主要包含经检查确认后的已有技术和管理各方面安全举措等内容D《风险评估准则要求》,主要包含风险评估参照标准、采纳的风险剖析方法、风险计算方法、分类准则等内容3.规范的实行流程和文档管理,是信息安全风险评估结果获得成就的重要基础,<span style="line-height: 20.8px;">依照规范</span>的风险评估实行流程,下边哪个文档应当是风险峻素辨别阶段的输出成就()A《风险评估方案》B《重要保护的财富清单》C《风险计算报告》D《风险程度等级列表》4.定量风险剖析是从财务数字上对安全风险进行评估,得出能够量化的风险剖析结果,正确胸怀风险的可能性和损失量,小王采纳该方法来为单位机房计算火灾的风险大小,假定单位机房的总价值为 200 万元人民币,裸露系数( ErpomireFactor,EF )是 x,年度发生率(AnnuaIixed Rato of Occurrence,ARO)为 0.1 ,而小王计算的年度预期损失(AnnuaIixed Loss Rrpectancy,ALE)值为5 万元人民币。
由此x 值应当是()5. 不一样的信息安全风险评估方法可能获取不一样的风险评估结果,所以组织机构应当依据各自的实质状况,选择适合的风险评估方法,下边的描绘中,错误的选项是() A 定量风险剖析是用从财务数字上对安全风险进行评估,得出能够量化的风险剖析结果,以胸怀风险的可能性和损失量B 定量风险剖析对比定性风险剖析能获取正确的数值,所以在实质工作中应使用定量风险剖析,而不该选择定性风险剖析C 定性风险剖析过程中,常常需要依靠剖析者的经验直接进行,所以剖析结果微风险评估团队的素质、经验和知识技术亲密有关D定性风险剖析更拥有主观性,而定量风险剖析更具客观性6. 某单位在一次信息安全风险管理活动中,风险评估报告提出服务器 A 的 PTP 服务存在高风险的破绽,随后该单位在风险办理时选择了封闭PTP服务的办理措施,请问该举措属于哪一种风险办理方式()A 风险降低B 风险躲避C 风险转移D 风险接受7.剩余风险是风险管理中的一个重要看法,在信息安全风险管理中,对于剩余风险描绘错误的选项是()A 剩余风险是采纳了安全举措后,仍旧可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险B 剩余风险应遇到亲密监理,它会跟着时间的推移而发生变化,可能会在未来引发新的安全事件C 实行风险办理时,应将剩余风险清单见告信息系统所在组织的高管,使其认识剩余风险的存在和可能造成的结果D 信息安全风险办理的主要准则是尽可能降低和控制信息安全风险,以最小的剩余风险值作为风险管理成效评估指标9.某公司正在进行信息安全风险评估,在决定信息财富的分类与分级时,谁负有最后责任?A:部门经理B:高级管理层C:信息财富全部者D:最后用户10.以下对信息安全风险管理理解最正确的说法是:A:认识风险B:转移风险C:认识风险并控制风险D:认识风险并转移风险11.在信息安全风险管理工作中,辨别风险时主要要点考虑的因素应包含:A:财富及其价值、威迫、柔弱性、现有的和计划的控制举措B:财富及其价值、系统的破绽、柔弱性、现有的和计划的控制举措C:完好性、可用性、机密性、不行狡辩性D:以上都不正确12.以下哪一项不是信息安全风险剖析过程中所要达成的工作:A:辨别用户B:辨别柔弱性C:评估财富价值D:计算机安全事件发生的可能性13.王工是某单位系统管理员,他在某次参加了单位组织的风险管理工作时,发现目前事例中共有两个重要财富:财富 A1 和财富 A2;此中财富 A1 面对两个主要威迫:威迫 T1 和威迫 T2;而财富 A2 面对一个主要威迫:威迫 T3;威迫 T1能够利用的财富 A1 存在的两个柔弱性;柔弱性 V1 和柔弱性 V2:威迫 T2 能够利用财富 A1 存在的三个柔弱性,柔弱性 V3、柔弱性 V4 和柔弱性 V5; 威迫 T3 能够利用的财富 A2 存在的两个柔弱性,柔弱性 V6 和柔弱性 V7. 依据上述条件,请问:使用相乘法时,应当为财富 A1 计算几个风险值()A2B3C5D614.A: 内部计算机办理B:系统输入输出C:通信和网络D:外面计算机办理15.《信息安全技术信息安全风险评估规范 GB/ T 20984-2007》中对于信息系统生命周期各阶段的风险评估描绘不正确的选项是:A:规划阶段风险评估的目的是辨别系统的业务战略,以支撑系统安全需求及安全战略等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统B. 网络C. 数据库D. 应用程序系统答案:A备注:[标准和法规(TCSEC)]2.下述攻击手段中不属于DOS攻击的是: ()A. Smurf攻击B. Land攻击C. Teardrop攻击D. CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A. “普密”、“商密”两个级别B. “低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D. “一密”、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件厂商答案:B。
8.下面的哪种组合都属于多边安全模型?A. TCSEC 和Bell-LaPadulaB. Chinese Wall 和BMAC. TCSEC 和Clark-WilsonD. Chinese Wall 和Biba答案:B。
9.下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?A. 虹膜检测技术B. 语音标识技术C. 笔迹标识技术D. 指纹标识技术答案:A。
备注:[安全技术][访问控制(标识和鉴别)]10.拒绝服务攻击损害了信息系统的哪一项性能?A. 完整性B. 可用性C. 保密性D. 可靠性答案:B。
备注:[安全技术][安全攻防实践]11.下列哪一种模型运用在JAVA安全模型中:A. 白盒模型B. 黑盒模型C. 沙箱模型D. 灰盒模型答案:C。
备注:[信息安全架构和模型]12.以下哪一个协议是用于电子邮件系统的?A. X.25B. X.75C. X.400D. X.500答案:C。
备注:[安全技术][ICT信息和通信技术-应用安全(电子邮件)]13.“如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响”,这一说法是适合于以下哪一种拓扑结构的网络的?A. 星型B. 树型C. 环型D. 复合型答案:A。
备注:[安全技术][ICT信息和通信技术]14.在一个局域网的环境中,其内在的安全威胁包括主动威胁和被动威胁。
以下哪一项属于被动威胁?A. 报文服务拒绝B. 假冒C. 数据流分析D. 报文服务更改答案:C。
备注:[安全技术][安全攻防实践]15.Chinese Wall模型的设计宗旨是:A. 用户只能访问那些与已经拥有的信息不冲突的信息B. 用户可以访问所有信息C. 用户可以访问所有已经选择的信息D. 用户不可以访问那些没有选择的信息答案:A。
备注:[(PT)信息安全架构和模型]-[(BD)安全模型]-[(KA)强制访问控制(MAC)模型]-[(SA)Chinese Wall模型],基本概念理解16.ITSEC中的F1-F5对应TCSEC中哪几个级别?A. D到B2B. C2到B3C. C1到B3D. C2到A1答案:C。
备注:[(PT)信息安全标准和法律法规]-[(BD)信息安全标准]-[(KA)信息安全技术测评标准],概念记忆。
17.下面哪一个是国家推荐性标准?A. GB/T 18020-1999 应用级防火墙安全技术要求B. SJ/T 30003-93 电子计算机机房施工及验收规范C. GA 243-2000 计算机病毒防治产品评级准则D. ISO/IEC 15408-1999 信息技术安全性评估准则答案:A。
备注:[(PT)信息安全标准和法律法规]-[(BD)信息安全法律法规]。
18.密码处理依靠使用密钥,密钥是密码系统里的最重要因素。
以下哪一个密钥算法在加密数据与解密时使用相同的密钥?A. 对称的公钥算法B. 非对称私钥算法C. 对称密钥算法D. 非对称密钥算法答案:C。
备注:[(PT)安全技术]-[(BD)信息安全机制]-[(KA)密码技术和应用],基本概念理解。
19.在执行风险分析的时候,预期年度损失(ALE)的计算是:A. 全部损失乘以发生频率B. 全部损失费用+实际替代费用C. 单次预期损失乘以发生频率D. 资产价值乘以发生频率答案:C。
备注:[(PT)安全管理]-[(BD)关键安全管理过程]-[(KA)风险评估],基本概念。
20.作为业务持续性计划的一部分,在进行风险评价的时候的步骤是:1. 考虑可能的威胁2. 建立恢复优先级3. 评价潜在的影响4. 评价紧急性需求A. 1-3-4-2B. 1-3-2-4C. 1-2-3-4D. 1-4-3-2答案:A。
备注:[安全管理][业务持续性计划]中安全功能/保证要求的三层结构是(按照由大到小的顺序):A. 类、子类、组件B. 组件、子类、元素C. 类、子类、元素D. 子类、组件、元素答案:A。
备注:[(PT)信息安全标准和法律法规]-[(BD)信息安全标准]-[(KA)信息安全技术测评标准]-[(SA)CC],概念。
22.有三种基本的鉴别的方式: 你知道什么,你有什么,以及:A. 你需要什么B. 你看到什么C. 你是什么D. 你做什么答案:C。
备注:[(PT)安全技术]-[(BD)信息安全机制]-[(KA)访问控制系统]23.为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?A. 人际关系技能B. 项目管理技能C. 技术技能D. 沟通技能答案:D。
备注:[(PT)安全管理]-[(BD)组织机构和人员保障],概念。
24.以下哪一种人给公司带来了最大的安全风险?A. 临时工B. 咨询人员C. 以前的员工D. 当前的员工答案:D。
备注:[(PT)安全管理]-[(BD)组织机构和人员保障],概念。
25.SSL提供哪些协议上的数据安全:A. HTTP,FTP和TCP/IPB. SKIP,SNMP和IPC. UDP,VPN和SONETD. PPTP,DMI和RC4答案:A。
26.在Windows 2000中可以察看开放端口情况的是:A. nbtstatB. netC. net showD. netstat答案:D。
27.SMTP连接服务器使用端口A. 21B. 25C. 80D. 110答案:选项B。
备注:[PT-安全技术]-[BD-信息和通信技术(ICT)安全]-[KA-电信和网络安全],基本概念。
28.在计算机中心,下列哪一项是磁介质上信息擦除的最彻底形式?A. 清除B. 净化C. 删除D. 破坏答案:D。
备注:[(PT)安全管理]-[(BD)生命周期安全管理]-[(KA)废弃管理]29.以下哪一种算法产生最长的密钥?A. Diffe-HellmanB. DESC. IDEAD. RSA答案:D。
30.下面哪一种风险对电子商务系统来说是特殊的?A. 服务中断B. 应用程序系统欺骗C. 未授权的信息泄漏D. 确认信息发送错误答案:D。
31.以下哪一项不属于恶意代码?A. 病毒B. 蠕虫C. 宏D. 特洛伊木马答案:C。
32.下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:A. 风险过程B. 保证过程C. 工程过程D. 评估过程答案:D33.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?A. 公安部B. 国家保密局C. 信息产业部D. 国家密码管理委员会办公室答案:B。
34.为了保护DNS的区域传送(zone transfer),你应该配置防火墙以阻止1. UDP2. TCP3. 534. 52A. 1,3B. 2,3C. 1,4D. 2,4答案:B。
备注:[(PT)信息安全技术]-[(BD)安全实践],安全技术实践综合,网络安全和DNS应用安全。
35.在选择外部供货生产商时,评价标准按照重要性的排列顺序是:1. 供货商与信息系统部门的接近程度2. 供货商雇员的态度3. 供货商的信誉、专业知识、技术4. 供货商的财政状况和管理情况A. 4,3,1,2B. 3,4,2,1C. 3,2,4,1D. 1,2,3,4答案:B。
36.机构应该把信息系统安全看作:A. 业务中心B. 风险中心C. 业务促进因素D. 业务抑制因素答案:C。
37.输入控制的目的是确保:A. 对数据文件访问的授权B. 对程序文件访问的授权C. 完全性、准确性、以及更新的有效性D. 完全性、准确性、以及输入的有效性答案:选项D。
38.以下哪个针对访问控制的安全措施是最容易使用和管理的?A. 密码B. 加密标志C. 硬件加密D. 加密数据文件答案:C。
39.下面哪种通信协议可以利用IPSEC的安全功能?I. TCPII. UDPIII. FTPA. 只有IB. I 和IIC. II 和IIID. I II III答案:D。
40.以下哪一种模型用来对分级信息的保密性提供保护?A. Biba模型和Bell-LaPadula模型B. Bell-LaPadula模型和信息流模型C. Bell-LaPadula模型和Clark-Wilson模型D. Clark-Wilson模型和信息流模型答案:B。
备注:[(PT)信息安全架构和模型]-[(BD)安全模型]-[(KA)强制访问控制(MAC)模型],基本概念理解41.下列哪一项能够提高网络的可用性?A. 数据冗余B. 链路冗余C. 软件冗余D. 电源冗余答案:选项B。
备注:[(PT)安全技术]-[(BD)信息和通信技术(ICT)安全]-[(KA)电信和网络安全],基本概念。
42.为了阻止网络假冒,最好的方法是通过使用以下哪一种技术?A. 回拨技术B. 呼叫转移技术C. 只采用文件加密D. 回拨技术加上数据加密答案:D。