CISP考试认证(习题卷9)

CISP考试认证(习题卷9)
说明：答案和解析在试卷最后
第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]在IIS上，除了修改HTTP 500的错误页面信息外，另外一种屏蔽HTTP 500错误信息的方式是( )
A)自定义脚本错误信息
B)修改ISAPI
C)修改WEB目录权限
D)修改ASP执行权限
2.[单选题]如果将允许使用中继链路的 VLAN 范围设置为默认值，表示允许哪些 VLAN
A)允许所有 VLAN 使用中继链路
B)只允许 VLAN1 使用中继链路
C)只允许本征 VLAN 使用中继链路
D)交换机将通过 VTP 来协商允许使用中继链路的 VLAN
3.[单选题]为增强Web 应用程序的安全性，某软件开发经理决定加强Web 软件安全开发培训，
下面哪项内容不在考虑范围内
A)关于网站身份鉴别技术方面安全知识的培训
B)针对OpenSSL 心脏出血漏洞方面安全知识的培训
C)针对SQL 注入漏洞的安全编程培训
D)关于ARM 系统漏洞挖掘方面安全知识的培训
4.[单选题]下列哪些措施不是有效的缓冲区溢出的防护措施？
A)使用标准的C 语言字符串库进行操作
B)严格验证输入字符串长度
C)过滤不合规则的字符
D)使用第三方安全的字符串库操作
5.[单选题]由于IT的发展,灾难恢复计划在大型组织中的应用也发生了变化。

如果新计划没有被测试下面哪项是最主要的风险
A)灾难性的断电
B)资源的高消耗
C)"恢复的总成本不能被最小化
"
D)用户和恢复团队在实施计划时可能面临服务器问题
6.[单选题]在信息系统中, 访问控制是最重要的安全功能之一。

访问控制模型将所有实体分为主体和客体两大失,通过对主体身份的识别来限制其对客体的访问权限。

下列选项中, 对主体客体和访问权阳的述中正确的是
A)对文件进行操作的用户是一种主体
B)用户调度并运行的某个进程是一种客体
C)主体与客体的关系是固定的, 不能互换
D)一个主体为了完成任务, 可以创建另外的客体, 并使这些子客体独立运行
7.[单选题]CISP职业道德包括诚实守信，遵纪守法，主要有（）、（）、（）
A)不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为，不在公共网络传播反动、暴力、黄色、低俗信息及非法软件。

B)热爱信息安全工作岗位，充分认识信息安全专业工作的责任和使命；为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献；帮助和知道信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责地提供出应对信息安全问题的建议和帮助
C)自觉维护国家信息安全，拒绝并地址泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为；自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为
D)通过持续学习保持并提升自身的信息安全知识；利用日常工作、学术交流等各种方式保持和提升信息安全实践能力；以CISP身份为荣，积极参加各种证后活动，避免任何损害CISP声誉形象的行为
8.[单选题]CB/T20984-2007《信息安全技术信息安全义批详选规范》、对10个()进行了定义阐述其相关关系,规定了()的原理和()规定了风险评估实施的7个阶段的具体方法和要求,规定了针对信息系统()5个阶段风险评估的常见(),给出了风险评估的一般计算方法和相关工具建议。

A)风险要素;风险评估;实施流程;生命周期;工作形式
B)风险要素;实施流程;风险评估;生命周期;工作形式
C)风险要素;生命周期;风险评估;实施流程;工作形式
D)风险要素;工作形式;风险评估;实施流程;生命周期
9.[单选题]设置了强制密码历史后，某用户设置密码kedawu失败，该用户可能的原密码是____。

A)A keda
B)B kedaliu
C)C kedawuj
D)D dawu
10.[单选题]主体 S 对客体 01 有读(R)权限,对客体 02 有读(R)、写(W)、拥有(Own)权限,该访问控制实现方法是:
A)访问控制表(ACL)
B)访问控制矩阵
C)能力表(CL)
D)前缀表(Profiles)
11.[单选题]90.公钥基础设施(PublicKeyinfrastructure,PKI)引入数字证书的概念,用来表示用户的身份。

下图简要地描述了终端实体(用户)从认证权威机构CA申请、撤销和更新数字证书的流程。

请为中间框空白处选择合适当选项:
A)证书库
B)RA
C)OCSP
D)CRL库
12.[单选题]以下对于 STRIDE 模型得描述哪个说法是错误的？
A)某用户在登录系统并下载数据后，却声称“我没有下载过数据”，软件系统中的这种威胁属于 R 威胁
B)某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的“，软件系统中的这种威胁属于 R
威胁
C)对于 R 威胁，可以选择使用如强认证、数字签名，安全审计等技术措施来解决
D)对于 R 威胁，可以选择使用如隐私保护、过滤、流量控制等技术措施来解决
13.[单选题]468.随着即时通讯软件的普及使用，即时通讯软件也被恶意代码利用进行传播，以下哪项功能不是恶意代码利用即时通讯进行传播的方式（）题目有歧义随便选
A)利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件
B)利用即时通讯软件发送指向恶意网页的URL
C)利用即时通讯软件发送指向恶意地址的二维码
D)利用即时通讯发送携带恶意代码的TXT文档
14.[单选题]64. 信息安全组织的管理涉及内部组织和外部各方两个控制目标。

为了实现控制外部各方的目标应该包括下列哪个选项（）
A)信息安全的管理承诺、信息安全协调、信息安全职责的分配
B)信息处理设施的授权过程、保密性协议、与政府部门的联系
C)与特定利益集团的联系、信息安全的独立评审
D)与外部各方相关风险的识别、处理外部各方协议中的安全问题
15.[单选题]“凯撒密码” 的密码系统在密码学的发展阶段中属于哪个阶段?
A)第一阶段: 古典密码( Classical Cryptography) 阶段
B)第二阶段: 近代密码阶段
C)第三阶段: 现代密码学阶段
D)第四阶段: 自 1976 年开始一直延续到现在
16.[单选题]8密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法，密码协议也是网络安全的一个重要组成部分。

下面描述中，错误的是（）
A)在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住所有的执行步骤，有些复杂的步骤可以不明确处理方式
B)密码协议定义了两方或多方之间为完成某项任务而制定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行
C)根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信任的人，也可能是敌人和互相完全不信任的人
D)密码协议（cryptographic protocol），有时也称安全协议（security protocol），是使用密码学完成某项特定的任务并满足安全需求，其目的是提供安全服务
17.[单选题]机房中大量的电子的电子设备在与水的接触中会导致损坏的事故，即使在未运行期间，与水接触也会对计算机系统造成损坏。

因此在机房环境安全策略和安全措施中都需要考虑解决水带来的安全问题。

某公司在为机房选址和布置机房环境时考虑了这些措施：①将机房建在顶层，②在机房周围设置防水区③主供水管避开机房顶部④地板部署水浸探测器⑤使用专用精密空调保持机房恒温恒湿，其中属于防水措施的有（）
A)①④
B)②③
C)③⑤
D)③④
18.[单选题]以下哪些是可能存在的威胁因素
A)病毒和蠕虫
B)设备老化故障
C)系统设计缺陷
D)保安工作不得力
19.[单选题]65. 若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常要在物理和环境安全方面实施规划控制，物理和环境安全领域包括安全区域和设备安全两个控制目标。

安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息以及信息处理设施应放在安全区域内，并受到相应保护，该目标可以通过以下控制措施来实现，下列不包括哪一项（）
A)物理安全边界、物理入口控制
B)办公室、房间和设施的安全保护，外部和环境威胁的安全防护。

C)在安全区域工作，公共访问、交接区安全
D)人力资源安全
20.[单选题]信息安全风险评估的方式包括（ ）
A)定量评估、定性评估、组合评估
B)定量评估、定点评估、组合评估
C)条件评估、完整评估、组合评估
D)自评估、检查评估
21.[单选题]小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应聘时，面试经理要求他给出该企业信息系统访问控模型的设计思路。

如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是？
A)访问控制列表（ACL）
B)能力表（CL）
C)BLP 模型
D)Biba 模型
22.[单选题]以下关于灾难恢复和数据备份的理解，说法正确的是？
A)增量备份是备份从上次完全备份后更新的全部数据文件
B)依据具备的灾难恢复资源程度的不同，灾难恢复能力分为 7 个等级
C)数据备份按数据类型划分可以划分为系统数据备份和用户数据备份
D)如果系统在一段时间内没有出现问题，就可以不用再进行容灾演练了
23.[单选题]组织的灾难恢复计划应该:
A)减少恢复时间,降低恢复费用
B)增加恢复时间,提高恢复费用
C)减少恢复的持续时间,提高恢复费用
D)对恢复时间和费用都不影响
24.[单选题]信息是流动的，在信息的流动过程中必须能够识别所有可能途径的（）与（）；面对于信息本身，信息的敏感性的定义是对信息保护的（）和（），信息在不同的环境存储和表现的形式也决定了（）的效果，不同的载体下，可能体现出信息的（）、临时性和信息的交互场景，这使得风险管理变得复杂和不可预测。

A)基础；依据；载体；环境；永久性；风险管理
B)基础；依据；载体；环境；风险管理；永久性
C)载体；环境；风险管理；永久性；基础；依据
D)载体；环境；基础；依据；风险管理；永久性
25.[单选题]如图是某网站对爬虫总抓取量、停留时间及访问次数这三个基础信息日志数据的统计结果，通过对日志数据进行审计检查，可以分析系统当前的运行状况、发现其潜在威肋等。

那么对日志数据进行审计检查，属于（）类控制措施
A)预防
B)检查
C)威慑
D)修正
26.[单选题]6. 某Linux系统由于root口令过于简单，被攻击者猜解后获得了root口令，发现被攻击后，管理员更改了root口令，并请安全专家对系统进行检测，在系统中发现有一个文件的权限如下-r-s-x-x1 test test10704 Apr 15 2002/home/test/sh请问以下描述哪个是 正确的：
A)该文件是一个正常文件，是 test 用户使用的 shell，test 不能读该文件，只能执行
B)该文件是一个正常文件，是 test 用户使用的 shell，但 test 用户无权执行该文件
C)该文件是一个后门程序，该文件被执行时，运行身份是 root，test 用户间接获得了 root 权限
D)该文件是一个后门程序，可由于所有者是 test，因此运行这个文件时文件执行权限为 test
27.[单选题]小李在检查公司对外服务网站的源代码时，发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时，会将详细的错误原因在结果页面上显示出来。

从安全角度考虑，小李决定修改代码。

将详细的错误
原因都隐藏起来，在页面上仅仅告知用户“抱歉。

发生内部错误！”。

请问，这种处理方法的主要目的是
A)避免缓冲区溢出
B)安全处理系统异常
C)安全使用临时文件
D)最小化反馈信息
28.[单选题]37. 以下哪一项不是信息系统集成项目的特点：
A)信息系统集成项目要以满足客户和用户的需求为根本出发点
B)系统集成就是选择最好的产品和技术，开发相应的软件和硬件，将其集成到信息系统的过程
C)信息系统集成项目的指导方法是“总体规划、分步实施”
D)信息系统集成包含技术，管理和商务等方面，是一项综合性的系统工程
29.[单选题]有关系统工程的特点,以下错误的是( )
A)系统工程研究问题一般采用先决定整体框架,后进入详细设计的程序
B)系统工程的基本特点,是需要把研究对象结构为多个组织部分分别独立研究
C)系统工程研究强调多学科协作,根据研究问题涉及到的学科和专业范围,组成一个知识结构合理的专家体系
D)系统工程研究是以系统思想为指导,采取的理论和方法是综合集成各学科、各领域的理论和方法
30.[单选题]数字签名不能实现的安全特性为( )
A)防抵赖
B)防伪造
C)防冒充
D)保密通信
31.[单选题]关于ARP 欺骗原理和防范措施，下面理解错误的是（）。

A)ARP 欺骗是指攻击者直接向受害者主机发送错误的ARP 应答报文，使得受害者主机将
错误的硬件地址映射关系存入到ARP 缓存中，从而起到冒充主机的目的
B)解决ARP 欺骗的一个有效方法是采用“静态”的ARP 缓存，如果发生硬件地址的更改，
则需要人工更新缓存
C)单纯利用ARP 欺骗攻击时，ARP 欺骗通常影响的是内部子网，不能跨越路由实施攻击
D)彻底解决ARP 欺骗的方法是避免使用ARP 协议和ARP 缓存，直接采用IP 地址和其他
主机进行连接
32.[单选题]以下哪些不是无形资产
A)客户关系
B)电子数据
C)商业信誉
D)企业品牌
33.[单选题]若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常需要在符合性方面实施常规控制。

符合性常规控制这一领域不包括以下哪项控制目标( )
A)符合安全策略和标准以及技术符合性
B)访问控制的业务要求、用户访问管理
C)符合法律要求
D)信息系统审核考虑
34.[单选题]一个VLA.N可以看作是一个：
A)冲突域
B)广播域
C)管理域
D)阻塞域
35.[单选题]91. 2016年9月，一位安全研究人员在GoogleCloudIP上通过扫描，发现了完整的美国路易斯安邦州290万选民数据库。

这套数据库中囊括了诸如完整 姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、政党、代名和密码，以防止攻击者利用以上信息进行（）攻击。

A)默认口令
B)字典
C)暴力
D)XSS
36.[单选题]我们在使用nmap时，如果已经知道被扫描主机(192.168.20.20)是存活的，我们可以使用下列哪个命令直接跳过主机发现（）
A)nmap -Pn 192.168.20.20
B)nmap -Ps 192.168.20.20
C)nmap -PA 192.168.20.20
D)nmap -PS 192.168.20.20
37.[单选题]TCP/IP协议是Internet构成的基础,TCP/IP通常被认为是一个N层协议,每一层都使用它的下一层所提供的网络服务来完成自己的功能,这里N应等于()。

A)4
B)5
C)6
D)7
38.[单选题]保障UNIX／Linux系统帐号安全最为关键的措施是____。

A)A 文件／etc／passwd和／etc／group必须有写保护
B)B 删除／etc／passwd、／etc／group
C)C 设置足够强度的帐号密码
D)D 使用shadow密码
39.[单选题]分片攻击问题发生在：
A)数据包被发送时
B)数据包在传输过程中
C)数据包被接收时
D)数据包中的数据进行重组时
40.[单选题]Linux系统一般使用GRU B作为启动的M BR程序,GRU B如何配置才能放置用户加入单用户模式重置root密码?
A)删除敏感的配置文件
B)注释gru BConf 文件中的启动项
C)在对应的启动title上配置进入单用户的密码
D)将GRU B程序使用非对称秘钥加密
41.[单选题]XXE漏洞可以做什么
A)网络钓鱼
B)获取用户浏览器信息
C)盗取用户cookie
D)读取服务器文件
42.[单选题]在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层次提供保密性、身份鉴别、数据完整性服务？ （）
A)网络层
B)表示层
C)会话层
D)物理层
43.[单选题]在何种情况下，一个组织应对公众和媒体公告其信息系统中发生的信息安全事件？
A)当信息安全事件的负面影响扩展到本组织意外时
B)只要发生了安全事件就应当公告
C)只有公众的什么财产安全受到巨大危害时才公告
D)当信息安全事件平息之后
44.[单选题]有关信息系统的设计、开发、实施、运行和维护过程中的安全问题,以下描述错误的是
A)信息系统的开发设计,应该越早考虑系统的安全需求越好
B)信息系统的设计、开发、实施、运行和维护过程中的安全问题,不仅仅要考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统
C)信息系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理
D)运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险
45.[单选题]IPseC.协议的子协议不能提供下列哪一项服务？
A)数据源认证
B)数据包重放
C)访问控制
D)机密性
46.[单选题]65.数位物件识别号(Digital0bjectIdentifier,简称DOI)是一套识别数位资源的机制，涵括的对象有视频、报告或书籍等等。

它既有一套为资源命名的机制，也有一套将识别号解析为具体位址的协定。

DOI码由前缀和后缀两部分组成，之间用“/”分开，并且前级以“.”再分为两部分。

以下是一个典型的DOI识别号
，10.1006/jmbi.1998.2354，下列选项错误的是()
A)“10.1006”是前级，由国际数位物件识别号基金会确定
B)“10”为DOI目前唯的特定代码，用以将DOI与其他采用同样技术的系统区分开
C)“1006是注册代理机构的代码，或出版社代码，用于区分不同的注册机构
D)后缀部分为:jmbi.1998.2354，由资源发行者自行指定，用于区分一个单独的数字资料，不具有唯一性
47.[单选题]Alice 有一个消息 M 通过密钥 K2 生成一个密文 E(K2,M)然后用 K1 生成一个 MAC
为 C(K1,E(K2,M)),Alice 将密文和 MAC 发送给 Bob,Bob 用密钥 K1 和密文生成一个MAC 并和 Alice 的 MAC 比较,假如相同再用 K2 解密 Alice 发送的密文,这个过程可以提供什么安全服务?
A)仅提供数字签名
B)仅提供保密性
C)仅提供不可否认性
D)保密性和消息完整性
48.[单选题]IPV 4 协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进行互联、互通，仅仅依拿 IP 头部的校验和字段来保证 IP 包的安全，因此 IP 包很容易被篡改，并重新计算校验和，IETF 于 1994 年开始制定IPSec 协议标准，其设计目标是在 IPV4 和 IPV6 环境中为网络层流量提供灵活、
透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击， 同时保持易用性，下列选项中说法错误的是（ ）
A)对于 IPv4, IPSec 是可选的，对于 IPv6, IPSec 是强制实施的。

B)IPSec 协议提供对 IP 及其上层协议的保护。

C)IPSec 是一个单独的协议。

D)ITSec 安全协议给出了封装安全载荷和鉴别头两种通信保护机制
49.[单选题]在密码学的Kerchhof 假设中，密码系统的安全性仅依赖于
A)明文
B)密文
C)密钥
D)信道
50.[单选题]以下对信息安全管理的描述错误的是
A)信息安全管理的核心就是风险管理
B)人们常说,三分技术,七分管理,可见管理对信息安全的重要性
C)安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂
D)信息安全管理工作的重点是信息系统,而不是人
51.[单选题]某单位在实施信息安全风险评估后，形成了若干文档，下面（ ）中的文档不应属于风险评估中“风险评估准备”阶段输出的文档。

A)《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容
B)《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等内容
C)《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容
D)《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容
52.[单选题]Alice 用 Bob 的密钥加密明文,将密文发送给 Bob。

Bob 再用自己的私钥解密,恢复出明文。

以下说法正确的是:
A)此密码体制为对称密码体制
B)此密码体制为私钥密码体制
C)此密码体制为单钥密码体制
D)此密码体制为公钥密码体制
53.[单选题]按照我国信息安全等级保护的有关政策和标准,有些信息系统只需自主 定级、自主保护,按照要求向公安机关备案即可,可以不需要上级或主管部门来测评和检查。

此类信息系统应属于( )。

A)零级系统
B)一级系统
C)二级系统
D)三级系统
54.[单选题]为了应对日益严重的垃圾邮件问题，人们设计和应用了各种垃圾邮件过滤机制，以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制？
A)SMTP身份认证
B)逆向名字解析
C)黑名单过滤
D)内容过滤
55.[单选题]在拿到一个windows服务器下的webshell之后，我想看看当前在线的用户，下面这些命令可以做到的是
A)query user
B)dir c:\users
C)tasklist /v
D)net user
56.[单选题]下列关于 service password-encryption 命令的说法中哪项正确
A)service password-encryption 命令应在特权执行模式提示符下输入
B)service password-encryption 命令只加密控制台与 VTY 端口的口令
C)service password-encryption 命令对运行配置中先前未加密的所有口令进
D)若要查看通过 service password-encryption 命令加密的口令，可输入 no service password-encryption 命令
57.[单选题]若一个组织生成自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求，其信息安全控制实施通畅需要在符合性方面实施常规控制。

符合性常规控制这一领域不包括以下哪项控制目标 ( )
A)符合法律要求
B)符合安全策略和标准以及技术符合性
C)信息系统审核考虑
D)访问控制的业务要求，用户访问管理
58.[单选题]在winD.ow系统中用于显示本机各网络端口详细情况的命令是：
A)NETSHOW
B)NETSTA.T
C)IPC.ONFIG
D)NETVIEW
59.[单选题]461.我国等级保护政策发展的正确顺序是（）①等级保护相关政策文件颁布②计算机系统安全保护等级划分思想提出③等级保护相关标准发布④网络安全法将等级保护制度作为基本策⑤等级保护工作试点
A)A，①②③④⑤
B)②③①⑤④
C)②⑤①③④
D)①②④③⑤
60.[单选题]杀毒软件一般是通过对代码与特征库中的特征码进行比对,判断这个文件是否是为 恶意代码,如果是则进入联系到病毒库中对该病毒的描述,从而确认其行为,达到分析的目的。

下列对恶意代码静态分析的说法中,错误的是( ) A)静态分析不需要实际执行恶意代码,它通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制
B)静态分析通过查找恶意代码二进制程序中嵌入的可疑字符串,如:文件名称、URL 地址、域名、调用函数等来进行析判断
C)静态分析检测系统函数的运行状态,数据流转换过程,能判别出恶意代码行为和正常软件 操作
D)静态分析方法可以分析恶意代码的所有执行路径,但是随着程序复杂度的提高,冗余路径 增多,会出现分析效率很低的情况
61.[单选题]在linux下为某个文件添加权限命令chmod 741 中的4是什么意思。