CISP考试认证(习题卷7)

CISP考试认证(习题卷7)
第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]随着信息安全涉及的范围越来越广,各个组织对信息安全管理的需求越来越迫切, 越来越多的组织开始尝试使用参考 ISO27001 介绍的 ISMS 来实施信息安全管理体系,提高组织的信息安全管理能力。

关于 ISMS,下面描述错误的是( )。

A)组织的管理层应确保 ISMS 目标和相应的计划得以制定,信息安全管理目标应明确、可度量,风险管理计划应具体,具备可行性
B)组织的管理层应全面了解组织所面临的信息安全风险,决定风险可接受级别和风险可接受准则,并确认接受相关残余风险
C)组织的信息安全目标、信息安全方针和要求应传达到全组织范围内,应包括全体员工,同时,也应传达到客户、合作伙伴和供应商等外部各方
D)在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS 建设指明方向并提供总体纲领,明确总体要求
答案:D
解析:方针应由组织的管理层颁布。

2.[单选题]17.如下图所示，两份文件包含了不同的内容。

却拥有相同的SHA-1数字签名a,这违背了安全的哈希函数的()
A)单向性
B)弱抗碰撞性
C)强抗碰撞性
D)机密性
答案:C
解析:
3.[单选题]85. 某银行信息系统为了满足业务发展的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素
A)信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标
B)信息系统所承载该银行业务正常运行的安全需求
C)消除或降低该银行信息系统面临的所有安全风险
D)该银行整体安全策略
答案:C
解析:
4.[单选题]下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是：
A)确保采购/定制的设备，软件和其他系统组件满足已定义的安全要求
B)确保整个系统已按照领导要求进行了部署和配置
C)确保系统使用人员已具备使用系统安全功能和安全特征能力
D)确保信息系统的使用已得到授权
答案:B
解析:
5.[单选题]PDCERF方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。

其中,主要执行如下工作应在哪一个阶段:关闭信息系统、和/或修改防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登录账号等( )
A)准备阶段
C)根除阶段
D)检测阶段
答案:B
解析:
6.[单选题]依据国家 GB/T 20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是:
A)信息系统安全保障目的
B)环境安全保障目的
C)信息系统安全保障目的和环境安全保障目的
D)信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
答案:D
解析:GB/T 20274 信息系统保障评估框架从管理、技术、工程和总体方面进行评估。

7.[单选题]在 PDR 模型的基础上,发展成为了(Policy-Protection-Detection-Response,PPDR)模型,即策略-保护-检测-响应。

模型的核心是:所有的防护、检测、响应都是依据安全策略实施的。

在 PPDR 模型中,策略指的是信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。

策略体系的建立包括安全策略的制定、( )等;防护指的是通过部署和采用安全技术来提高网络的防护能力,如( )、防火墙、入侵检测、加密技术、身份认证等技术;检测指的是利用信息安全检测工具,监视、分析、审计网络活动,了解判断网络系统的( )。

检测这一环节,使安全防护从被动防护演进到主动防御,是整个模型动态性的体现,主要方法包括;实时监控、检测、报警等;响应指的是在检测到安全漏洞和安全事件,通过及时的响应措施将网络系统的( )调整到风险最低的状态,包括恢复系统功能和数据,启动备份系统等。

启动备份系统等。

其主要方法包括:关闭服务、跟踪、反击、消除影响等。

A)评估与执行;访问控制;安全状态;安全性
B)评估与执行;安全状态;访问控制;安全性
C)访问控制;评估与执行;安全状态;安全性
D)安全状态,评估与执行;访问控制;安全性
答案:A
解析:
8.[单选题]建立并完善（）是有效应对社会工程攻击的方法，通过（）的建立，使得信息系统
用户需要遵循（）来实施某些操作，从而在一定程度上降低社会工程学的影响。

例如对于用
户密码的修改，由于相应管理制度的要求，（）需要对用户身份进行电话回拨确认才能执行，
那么来自外部的攻击就可能很难伪装成为内部工作人员进行（），因为他还需要想办法拥有
一个组织机构内部电话才能实施。

A)信息安全管理体系；安全管理制度； 规范；网络管理员；社会工程学攻击
B)信息安全管理体系；安全管理制度； 网络管理员；规范；社会工程学攻击
C)安全管理制度；信息安全管理体系； 规范；网络管理员；社会工程学攻击
D)信息安全管理体系； 网络管理员；安全管理制度；规范；社会工程学攻击
答案:A
解析:
9.[单选题]下图说明的是模块 A和B 之间的关系, 对下图说明正确的是
A)模块 A 调用模块 B
B)模块 B 调用模块 A
C)模块 A 和模块 B 相互调用
D)模块 A 和模块 B 之间不存在调用关系
答案:A
解析:
10.[单选题]65. 应急响应时信息安全事件管理的重要内容之一。

关于应急响应工作，下面描述错误的是（）
A)信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防性措施，也
B)应急响应工作有其鲜明的特点：具体高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作
C)应急响应时组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作： 安全事件发生时正确指挥、事件发生后全面总结
D)应急响应工作的起源和相关机构的成立和 1988 年 11 月发生的莫里斯蠕虫病毒事件有关，基于该事件，人们更加重视安全事件的应急处理和整体协调的重要性
答案:C
解析:
11.[单选题]windows 文件系统权限管理使用访问控制列表(Access Control List.ACL)机制,以下哪个说法是错误的:
A)安装 Windows 系统时要确保文件格式适用的是 NTFS. 因为 Windows 的 ACL 机制需要 NTFS 文件格式的支持
B)由于 Windows 操作系统自身有大量文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的 便利,Windows 上的 ACL 存在默认设置安全性不高的问题
C)Windows 的 ACL 机制中,文件和文件夹的权限是主体进行关联的,即文件夹和文件的访问权限信息是写在用户数 据库中的
D)由于 ACL 具有很好灵活性,在实际使用中可以为每一个文件设定独立拥护的权限
答案:C
解析:
12.[单选题]假设一个系统已经包含了充分的预防控制措施，那么安装监测控制设备：
A)是多余的，因为它们完成了同样的功能，但要求更多的开销
B)是必须的，可以为预防控制的功效提供检测
C)是可选的，可以实现深度防御
D)在一个人工系统中是需要的，但在一个计算机系统中则是不需要的，因为预防控制的功能已经足够
答案:C
解析:
13.[单选题]某公司在互联网区域新建了一个 WEB 网站，为了保护该网站主页安全性，尤其是不能让攻击者修改主页内容，该公司应当购买并部署下面哪个设备（）
A)负载均衡设备
B)网页防篡改系统
C)网络防病毒系统
D)网络审计系统
答案:B
解析:
14.[单选题]加密文件系统（Encrypting File System，EFS）是 Windows 操作系统的一个组件。

以下说法错误的是？
A)EFS 采用加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能加密数据
B)EFS 以公钥加密为基础，并利用了 Windows 系统中的 CryptoAPI 体系结构
C)EFS 加密系统适用于 NTFS 文件系统和 FAT32 文件系统（Windows7 环境下）
D)EFS 加密过程对用户透明，EFS 加密的用户验证过程是在登录 Windows 时进行的
答案:C
解析:
15.[单选题]49. 小牛在对某公司的信息系统进行风险评估后，因考虑到该业务系统中部分涉及金融交易的功能模块风险太高，他建议该公司以放弃这个功能模块的方式来处理该风险。

请问这种风险处置的方法是（）
A)降低风险
B)规避风险
C)转移风险
D)放弃风险
答案:B
解析:
16.[单选题]某云平台要推出一项新的加密服务，包含快速加密与加密传输的功能，与此同时需要兼顾平台有限的密钥存储空间，可以采用以下哪类方案（）
A)使用对称密码算法对原始信息进行加解密，使用公钥算法实现通信
B)使用公钥密码算法对原始信息进行加解密，使用公钥算法实现通信
C)使用对称密码算法对原始信息进行加解密，使用私钥算法实现通信
D)使用公钥密码算法对原始信息进行加解密，使用私钥算法实现通信
答案:A
解析:
17.[单选题]非对称密码算法具有很多优点，其中不包括：
A)、可提供数字签名、零知识证明等额外服务;
B)、加密/解密速度快，不需占用较多资源;
C)、通信双方事先不需要通过保密信道交换密钥;
D)、密钥持有量大大减少
答案:B
解析:
18.[单选题]许多web应用程序存在大量敏感数据,包括信用卡、杜保卡号码、身份认证证书等,Web应用这些敏感信息存储到数据库或者文件系统中,但是并使用适当的加密措施来保护。

小李不想自己的银行卡密码被泄露,他一直极力避免不安全的密码存储,他总结出几种不安全的密码存储问题,其中有一项应该归为措施,请问是哪一项()
A)使用弱算法
B)使用适当的加密措施或Hash算法
C)不安全的密钥生成和储存
D)不轮换密钥
解析:
19.[单选题]入侵检测系族有其技术化越性，但也有其阳限性，下列说法情误的是 ( )
A)对用户知识要求高，配置、操作和管理使用过于简单，容易遭到攻击
B)高虚警率，入侵检测系统会产生大的警告消息和可疑的入慢行为记录，
用户处理负担很重
C)入侵检测系统在应对自身攻击时，对其他数据的检测可能会被抑制成者受到影响
D)警告消息记承如果不完整，可能无法与入侵行为关联
答案:A
解析:
20.[单选题]根据《信息系统安全保障评估框架第四部分：工程保障》安全工程过程
A)未实施、基本实施、计划跟踪、量化控制、充分定义和持续改进
B)未实施、基本实施、计划跟踪，充分定义、量化控制和持续改进
C)基本实施、计划跟踪、充分定义、量化控制和持续改进等5个
D)基本实施、计划跟踪、量化控制、充分定义和持续改进等5个
答案:B
解析:
21.[单选题]Kerbeos协议是一种集中访问控制协议，它能在复杂的网络环境中，为用户提供安全的单点登录服务，单点登录是指用户在网络中进行一次身份认证，便可以访问其授权的所有网络资源，而不再需要其他的身份认证过程，实质是消息M在多个应用系统之间的传递或共享，其中，消息M是指以下选项中的（）
A)安全凭证
B)用户名
C)加密密钥
D)会话密钥
答案:A
解析:
22.[单选题]Windows服务说法错误的是
A)为了提升系统的安全性管理员应尽量关闭不需要的服务
B)可以作为独立的进程运行或以DLL的形式依附在Svchost
C)Windows服务只有在用户成功登录系统后才能运行
D)Windows服务通常是以管理员的身份运行的
答案:C
解析:
23.[单选题]Alice用Bob的密钥加密明文，将密文发送给Bob。

Bob再用自己的私钥解密，恢复出明文。

以下说法正确的是
A)此密码体制为对称密码体制
B)此密码体制为私钥密码体制
C)此密码体制为单钥密码体制
D)此密码体制为公钥密码体制
答案:D
解析:题干中使用到了私钥解密，私钥是公钥密码体制中用户持有的密钥，相对于公钥而言,则为非对称密码体制，非对称密码体制又称为公钥密码体制
)
24.[单选题]你是单位安全主管,由于微软刚发布了数个系统漏洞补丁,安全运维人员给出了针对此批漏洞修补的四个建议方案,请选择其中一个最优方案执行( )
B)对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没 有重要数据,由终端自行升级
C)本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先 不做处理
D)由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器 和客户端尽快安装补丁
答案:A
解析:对于重要的服务,在测试环境中安装并确定补丁的兼容性问题后再在正式生产环境中 部署,这样可以有效的避免应补丁升级后可能会对系统服务造成不必要的影响。

25.[单选题]企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是
A)不需要全体员工的参入，只要ＩＴ部门的人员参入即可
B)来自高级管理层的明确的支持和承诺
C)对企业员工提供必要的安全意识和技能的培训和教育
D)所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行
答案:A
解析:
26.[单选题]安全审计是对系统活动和记录的独立检查和验证，以下哪一项不是审计系统的作用：
A)辅助辨识和分析未经授权的活动或攻击
B)对与已建立的安全策略的一致性进行核查
C)及时阻断违反安全策略的访问
D)帮助发现需要改进的安全控制措施
答案:C
解析:
27.[单选题]91. 小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是强制访问控制产生了分歧。

小本认为应该采用自主访问控制的方法，他的观点主要有；(1)自主访问控制方式，可为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；(2)自主访问控制可以抵御木马程序的攻击。

小刘认为应该采用强制访问控制的方法，他的观点主要有；(3)强制访问控制中，只有文件的拥有者可以修改文件的安全属性，因此安全性较高；(4)强制访问控制能够保护敏感信息。

以上四个观点中，只有一个观点是正确的，它是().
A)观点(1)
B)观点(2)
C)观点(3)
D)观点(4)
答案:D
解析:
28.[单选题]在信息系统中，访问控制是重要的安全功能之一。

他的任务是在用户对系统资源提供最大限度共享的基础上，对用户的访问权限进行管理，防止对信息的非授权篡改和滥用。

访问控制模型将实体划分为主体和客体两类，通过对主体身份的识别来限制其对客体的访问权限。

下列选项中，对主体、客体和访问权限的描述中错误的是？
A)对文件进行操作的用户是一种主体
B)主体可以接受客体的信息和数据，也可能改变客体相关的信息
C)访问权限是指主体对客体所允许的操作
D)对目录的访问权可分为读、写和拒绝访问
答案:D
解析:
29.[单选题]某公司在讨论如何确认已有的安全措施,对于确认已有这全措施,下列选项中近期 内述不正确的是( )
A)对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施
B)安全措施主要有预防性、检测性和纠正性三种
C)安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁
答案:D
解析:常识性错误。

30.[单选题]RDP的端口号为（）
A)3389
B)23
C)22
D)443
答案:A
解析:
31.[单选题]当建立一个业务持续性计划时,使用下面哪一个工具用来理解组织业务流程?
A)业务持续性自我评估
B)资源的恢复分析
C)风险评估和业务影响评估
D)差异分析
答案:C
解析:
32.[单选题]老王是一名企业信息化负责人,由于企业员工在浏览网页时总导致病毒感染系统, 为了解决这一问题,老王要求信息安全员给出解决措施,信息安全员给出了四条措施建议,老王根据多年的信息安全管理经验,认为其中一条不太适合推广,你认为是哪条措施( )
A)采购防病毒网关并部署在企业互联网出口中,实现对所有浏览网页进行检测,阻止网页中的病毒进入内网
B)组织对员工进行一次上网行为安全培训,提高企业员工在互联网浏览时的安全意识
C)采购并统一部署企业防病毒软件,信息化管理部门统一进行病毒库升级,确保每台计算机都具备有效的病毒检测和查杀能力
D)制定制度禁止使用微软的 IE 浏览器上网,统一要求使用 Chrome 浏览器
答案:D
解析:更换浏览器并不能防范病毒感染系统,而且很多软件和应用与微软 IE 浏览器做了适
配,强制更换 Chrome 浏览器不适合推广。

33.[单选题]网络安全法将等级保护制度作为（），2016年11月发布的（）第二十一条明确指出"国家实行网络安全等级保护制度"。

正式宣告在网络空间（），我国将等级保护制度作为基本国策。

同时也正式将针对信息系统的（）变更为针对网络安全的等级保护标准。

现正在修订的《等级保护基本要求》和（等级保护定级指南》等标准的前级也已从过去的"信息安全"修改为
A)重要国策；《网络安全保护法》；安全领域；等级保护标准；"网络安全"
B)重要国策；《网络安全法》；安全领域；等级保护标准；"网络安全"
C)重大国策；《网络安全保护法》；安全领域；等级保护标准；"网络安全"
D)基本国策；《网络安全法》；安全领域；等级保护标准；"网络安全"
答案:D
解析:
34.[单选题]作为信息安全治理的成果,战略方针提供了:
A)企业所需的安全要求
B)遵从最佳实务的安全基准
C)日常化制度化的解决方案
D)风险暴露的理解
答案:A
解析:
A)网络硬件资产
B)数据资产
C)软件资产
D)以上都包括
答案:D
解析:
36.[单选题]信息收集是()攻击实施的基础,因此攻击者在实施前会对目标进行(),了解目标所有相关的()。

这些资料和信息对很多组织机构来说都是公开或看无用的,然而对攻击者来说,这些信息都 是非常有价值的,这些信息收集得 越多,离他们成功得实现()就越近。

如果为信息没有价值或价值的非常低,组织机构通常不会采取措施(),这正 是社会工程学攻击者所希望的。

A)信息收集;社会工程学;资料和信息;身份伪装 ;进行保护
B)社会工程学;信息收集;资料和信息;身份伪装 ;进行保护
C)社会工程学;信息收集;身份伪装;资料和信息 ;进行保护
D)信息收集;资料和信息;社会工程学;身份伪装 ;进行保护
答案:B
解析:
37.[单选题]在入侵检测(IDS)的运行中,最常见的问题是:( )
A)误报检测
B)接收陷阱消息
C)误拒绝率
D)拒绝服务攻击
答案:A
解析:
38.[单选题]关于计算机取证描述正确的是（）
A)计算机取证是使用先进的技术和工具，按照标准规程全面地检查计算机系统，以提取和保护有关计算机犯罪的相关证据的活动
B)取证的目的包括：通过证据查找肇事者，通过证据推断受害都损失程度及收集证据提供法律支持
C)电子证据是计算机系统运行过程中产生的各种信息记录存储的电子化资料及物品，对于电子证据，取证工作主要围绕两方面进行，证据的获取和证据的保护
D)计算机取证的过程可以分为准备、保护、提取、分析和提交5个步骤
答案:A
解析:跟602题重复但是602问的是不正确的。

此题A选项与D选项都是正确的，在教材“计算机取证与保全”部分可以找到原文，但是建议选择A
39.[单选题]应用安全，一般是指保障应用程序使用过程和结果的安全，以下内容中不属于应用安全防护考虑的是？
A)身份鉴别，应用系统应对登陆的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源
B)安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限，增加访问控制的力度，限制非法访问
C)剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防止存储在硬盘、内存或缓冲区中的信息被非授权的访问
D)机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、机房安全等级、机房的建造和机房的装修等
答案:D
解析:
40.[单选题]72. 一个信息管理系统通常会对用户进行分组并实施访问控制。

例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。

下列选项中，对访问控制的作用的理解错误的是()。

B)拒绝非法用户的非授权访问请求
C)在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理
D)防止对信息的非授权篡改和滥用
答案:A
解析:
41.[单选题]ISMS的审核的层次不包括以下哪个?
A)符合性审核
B)有效性审核
C)正确性审核
D)文件审核
答案:C
解析:
42.[单选题]415.下列关于软件需求管理与需求开发的论述正确的是()
A)所谓需求管理,是指对需求开发的管理
B)需求管理包括:需求获取、需求分析、需求定义和需求验证
C)需求开发是将用户需求转换为应用系统成果的过程
D)在需求管理中,需求维持对原有需求和所有产品需求的双向跟踪
答案:D
解析:
43.[单选题]86. ISO27002(Informationtechnology-SecurtiyTechniques-Codeofpracticeforinformationmanagement）是重要的信息安全管理标准之一，下图是关于其演进变化示意图，途中括号空白处应填写
A)BS7799．1．3
B)ISO17799
C)AS/NZS4630
D)NSTSP800－17
答案:B
解析:
44.[单选题]社会工程学本质上是一种( ), ( )通过种种方式来引导受攻击者的( )向攻击者 期望的方向发展。

罗伯特B西奥迪尼(Robert B Cialdini)在科学美国人(2001 年 2 月) 杂志中总结对()的研究,介绍了 6 种“人类天性基本倾向”,这些基本倾向都是( )工程师在攻击中所依赖的(有意思或者无意识的)。

A)攻击者;心理操纵;思维;心理操纵;思维;社会工程学
B)攻击者;心理操纵;心理操纵;社会工程学
C)心理操纵;攻击者;思维;心理操纵;社会工程学
D)心理操纵;思维;心理操纵;攻击者;社会工程学
答案:C
解析:
45.[单选题]423.内容安全是我国信息安全保障工作中的一个重要环节,互联网所带来的数字资源大爆发是使得内容安全越来越受到重视,以下哪个描述不属于内容安全的范畴()
A)某杂志在线网站建立内容正版化审核团队,对向网络投稿的内容进行版权审核,确保无侵犯版权行为后才能在网站上进行发布
B)某网站采取了技术措施,限制对同一IP地址对网站的并发连接,避免爬虫通过大量的访问采集网站发布数据。