CISP试题及答案
CISP试题与答案(515多题整理版)
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 所有以上选项答案:D2. 在信息安全领域中,以下哪项不属于常见的安全威胁类型?()。
A. 恶意软件B. 自然灾害C. 未经授权访问D. 拒绝服务攻击答案:B3. 风险评估的目的是()。
A. 评估组织的财务状况B. 确定信息资产的价值C. 识别和评估潜在的安全风险D. 增加市场份额答案:C4. 以下哪项是信息安全管理的最佳实践?()。
A. 仅依赖技术解决方案B. 忽略员工的安全意识培训C. 定期进行安全审计和评估D. 仅在发生安全事件后才采取行动答案:C5. CISP认证考试中,关于数据保密性的正确理解是()。
A. 确保数据只能被授权用户访问B. 确保数据的完整性C. 确保数据的可用性D. 确保数据的不可否认性答案:A二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持有者在信息安全领域具有专业知识和技能。
答案:国际信息系统安全认证联盟(ISC)²2. 在信息安全中,________是一种通过隐藏信息内容来保护数据不被未授权者理解的方法。
答案:加密3. 为了防止网络攻击,组织应该实施________策略,以确保所有用户和设备都符合安全标准。
答案:安全访问控制4. 信息安全事件响应计划的主要目的是________,减少安全事件对组织的影响。
答案:快速识别和响应安全事件5. 社会工程攻击利用的是人的________,通过欺骗手段获取敏感信息或访问权限。
答案:心理弱点三、简答题1. 描述信息安全管理的三个关键组成部分。
答:信息安全管理的三个关键组成部分包括策略制定,即制定明确的安全目标和规则;实施控制措施,包括技术和程序控制以降低风险;以及持续监控和审计,确保安全措施的有效性并进行必要的调整。
2. 解释什么是渗透测试以及它在信息安全中的作用。
CISP试题及答案-9套题
CISP培训模拟考试(二)姓名:单位:1.FTP使用哪个TCP端口?A.21B.23C.110D.532.TACACS(终端访问控制器访问控制系统,AAA认证协议的一种?)使用哪个端口?A.TCP69B.TCP49(TACACS+)C.UDP69D.UDP493.LDAP使用哪个端口?(LDAP轻量目录访问协议,根据目录树的结构给予不同的员工组不同的权限)A.TCP139B.TCP119C.UDP139D.UDP3894.FINGER服务使用哪个TCP端口?(Finger服务可用于查询用户的信息,包括网上成员的真实姓名、用户名、最近登录时间和地点等,要关闭)A.69B.119C.79D.705.DNS查询(queries)工具中的DNS服务使用哪个端口?A.UDP53B.TCP23C.UDP23D.TCP536.在零传输(Zone transfers)中DNS服务使用哪个端口?A.TCP53B.UDP53C.UDP23D.TCP237.哪个端口被设计用作开始一个SNMP Trap?A.TCP161B.UDP161C.UDP162D.TCP1698.在C/S环境中,以下哪个是建立一个完整TCP连接的正确顺序?A.SYN,SYN/ACK,ACKB.Passive Open,Active Open,ACK,ACKC.SYN,ACK/SYN,ACKD.Active Open/Passive Open,ACK,ACK9.TCP/IP的通信过程是?A.——SYN/ACK——>,<——ACK,——SYN/ACK——>B.——SYN/ACK——>,<——SYN/ACK——,——ACK——>C.——SYN——>,<——ACK,——SYN——>,<——ACK——D.——SYN——>,<——SYN/ACK——,——ACK——>10.TCP握手中,缩写RST指的是什么?A.ResetB.ResponseC.Reply StateD.Rest11.191.64.12.22是哪类地址?A.A类B.B类C.C类D.D类12.255.0.0.0是哪类网址的默认MASK?A.A类B.B类C.C类D.D类13.255.255.255.0是哪类网址的默认MASK?A.A类B.B类C.C类D.D类14.OSI模型中哪一层最难进行安全防护?A.网络层B.传输层C.应用层D.表示层15.Rlogin在哪个TCP端口运行?A.114B.513C.212D.27116.以下哪个标准描述了典型的安全服务和OSI模型中7层的对应关系?A.ISO/IEC7498-2B.BS7799C.通用评估准则D.IATF17.SSH的用户鉴别组件运行在OSI的哪一层?A.传输层B.网络层C.会话层D.物理层18.Ethernet MAC地址是多少位?A.36位B.32位C.24位D.48位19.Visa和MasterCard共同开发的用于信用卡交易的安全协议是什么?A.SSLB.SET(安全电子交易协议)C.PPTPD.三重DESSET(secure Electronic Transaction安全电子交易协议)20.互联网的管理是?A.集中式的B.半集中式的C.分布式的D.半分布式的21.互联网目前主要使用以下哪个协议?A.SNAB.DECnetC.TCP/IPD.MAP22.以下哪个是被动攻击的例子?A.通信量分析B.消息修改C.消息延迟D.消息删减23.以下哪个不属于防火墙典型的组件或者功能?A.协议过滤B.应用网关C.扩展的日志容量D.数据包路由24.挑选密码算法最重要应该考虑?A.安全和授权B.速度和专利C.速度和安全D.专利和授权25.下面关于PGP和PEM说法不对的是?A.它们都能加密消息B.它们都能签名C.它们用法一样D.都基于公钥技术26.Kerberos能够防止哪种攻击?A.隧道攻击B.重放攻击C.破坏性攻击D.过程攻击27.以下哪个与电子邮件系统没有直接关系?A.PEMB.PGPC.X.500D.X.40028.对防火墙的描述不对的是?A.防火墙能够执行安全策略B.防火墙能够产生审计日志C.防火墙能够限制组织安全状况的暴露D.防火墙能够防病毒29.下列几个OSI层中,哪一层既提供机密性服务又提供完整性服务?A.数据链路层B.物理层C.应用层?D.表示层30.下列几个OSI层中,哪一层能够提供访问控制服务?A.传输层?B.表示层C.会话层D.数据链路层31.以下哪个是可以用于连接两个或多个局域网最简单的网络装置?A.路由器B.网桥C.网关D.防火墙32.以下哪个是局域网中常见的被动威胁?A.拒绝式服务攻击B.IP欺骗C.嗅探D.消息服务的修改33.下列哪种设备是在OSI的多个层上工作的?A.网桥B.网关C.路由器D.中继器34.“如果任何一条线路坏了,那么只有连在这条线路上的终端受影响。
CISP整理试题及标准答案
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A.ﻩ操作系统B.网络C.ﻩ数据库D.应用程序系统答案:A2.下述攻击手段中不属于DOS攻击的是:()A.ﻩSmurf攻击B.ﻩLand攻击C. Teardrop攻击D.CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A.ﻩ“普密”、“商密”两个级别B.“低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D.ﻩ“一密”、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A.ﻩ集成测试、单元测试、系统测试、验收测试B.ﻩ单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D.ﻩ单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A.ﻩ一楼B.ﻩ地下室C. 顶楼D.ﻩ除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A.ﻩ测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B.ﻩ认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C.ﻩ对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D.ﻩ通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A.ﻩ系统管理员B.ﻩ律师C.ﻩ恢复协调员D.ﻩ硬件和软件厂商答案:B。
8.下面的哪种组合都属于多边安全模型?A.ﻩTCSEC和Bell-LaPadulaB.Chinese Wall和BMAC. TCSEC 和Clark-WilsonD. Chinese Wall 和Biba答案:B。
CISP试题及答案
CISP试题及答案预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】 B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】 C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
cisp试题及答案(515多题整理版)
cisp试题及答案(515多题整理版) cisp试题及答案(515多题整理版)1. 以下哪项不是CISP的组成部分?A. 信息安全政策B. 信息安全组织C. 信息安全培训D. 信息安全审计答案:D2. CISP的全称是什么?A. Certified Information Systems ProfessionalB. Certified Information Security ProfessionalC. Certified Information Systems Security ProfessionalD. Certified Information System Professional答案:B3. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 5年答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机试C. 口试D. 实操答案:B5. CISP认证的考试语言有哪些?A. 英语B. 中文C. 法语D. 所有选项答案:D6. CISP认证考试的题型是什么?A. 单选题B. 多选题C. 判断题D. 简答题答案:A7. CISP认证考试的总题数是多少?A. 100题B. 200题C. 300题D. 400题答案:C8. CISP认证考试的通过分数是多少?A. 60%B. 70%C. 80%D. 90%答案:C9. CISP认证考试的考试时间是多长?A. 1小时B. 2小时C. 3小时D. 4小时答案:C10. CISP认证考试的报名费用是多少?A. 500美元B. 700美元C. 1000美元D. 1500美元答案:B11. CISP认证考试的考试内容主要涉及哪些方面?A. 信息安全管理B. 信息安全技术C. 信息安全法律D. 所有选项答案:D12. CISP认证考试的考试内容不包括以下哪项?A. 风险评估B. 业务持续性管理C. 信息安全策略D. 数据库管理答案:D13. CISP认证考试的考试内容中,关于信息安全策略的知识点包括哪些?A. 信息安全策略的制定B. 信息安全策略的实施C. 信息安全策略的评估D. 所有选项答案:D14. CISP认证考试的考试内容中,关于风险评估的知识点包括哪些?A. 风险识别B. 风险分析C. 风险处理D. 所有选项答案:D15. CISP认证考试的考试内容中,关于业务持续性管理的知识点包括哪些?A. 业务影响分析B. 灾难恢复计划C. 应急响应计划D. 所有选项答案:D16. CISP认证考试的考试内容中,关于信息安全技术的知识点包括哪些?A. 加密技术B. 防火墙技术C. 入侵检测系统D. 所有选项答案:D17. CISP认证考试的考试内容中,关于信息安全法律的知识点包括哪些?A. 数据保护法B. 计算机犯罪法C. 知识产权法D. 所有选项答案:D18. CISP认证考试的考试内容中,关于信息安全管理的知识点包括哪些?A. 安全管理的框架B. 安全管理的过程C. 安全管理的控制D. 所有选项答案:D19. CISP认证考试的考试内容中,关于信息安全培训的知识点包括哪些?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 所有选项答案:D20. CISP认证考试的考试内容中,关于信息安全审计的知识点包括哪些?A. 审计计划B. 审计程序C. 审计报告D. 所有选项答案:D21. CISP认证考试的考试内容中,关于信息安全组织管理的知识点包括哪些?A. 组织结构B. 组织政策C. 组织文化D. 所有选项答案:D22. CISP认证考试的考试内容中,关于信息安全培训的知识点不包括以下哪项?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 培训课程设计答案:D23. CISP认证考试的考试内容中,关于信息安全审计的知识点不。
CISP真题及参考答案
答案:D。
4、美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求 时,将信息技术信息分为: A、内网和外网两个部分 B、本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C、用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分 D、可信用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安 全防护措施六个部分
答案:C。
3、关于信息保障技术框架(IATF),下列说法错误的是: A、IATF 强调深度防御,关注本地计算环境、区域边界、网络和基础设施、 支撑性基础设施等多个领域的安全保障; B、IATF 强调深度防御,即对信息系统采用多层防护,实现组织的业务安全 运作; C、IATF 强调从技术、管理和人等多个角度来保障信息系统的安全; D、IATF 强调的是以安全监测、漏洞监测和自适应填充“安全问题”为循环 来提高网络安全
答案:C。
42、 以下关于 Linux 超级权限的说明,不正确的是: A、一般情况下,为了系统安全,对于一般常规基本的应用,不需要 root 用 户来操作完成 B、普通用户可以通过 su 和 sudo 来获得系统的超级权限 C、对系统日志的管理,添加和删除用户等管理工作,必须以 root 用户登录 才能进行 D、Root 是系统的超级用户,无论会否为文件和程序的所有者都具有访问权 限
答案:B。
22、 下列对强制访问控制描述不正确的是: A、主体对客体的所有访问请求按照强制访问控制策略进行控制 B、强制访问控制中,主体和客体分配有一个安全属性 C、客体的创建者无权控制客体的访问权限 D、强制访问控制不可与自主访问控制结合使用
答案:D。
23、 以下哪些模型关注与信息安全的完整性? A、Biba 模型和 Bell-Lapadula 模型 B、Bell-Lapadula 模型和 Chinese Wall 模型 C、Biba 模型和 Clark-Wilson 模型 D、ClarK-Wilson 模型和 Chinese Wall 模型
CISP试题及答案六套题
1C2A3D4B5C1、以下关于信息平安保障深度防御模型的说法错误的选项是:A、信息平安外部环境、信息平安保障是组织机构平安、国家平安的一个重要组成部份,因此对信息平安的讨论必需放在国家政策、法律法规和标准的外部环境制约下B、信息平安治理和工程,信息平安保障需要在整个组织机构内成立和完善信息平安治理体系,将信息平安治理综合至信息系统的整个生命周期,在那个进程中,咱们需要采纳信息系统工程的方式来建设信息系统C、信息平安人材体系,在组织机构中应成立完善的平安意识,培训体系也是信息平安保障的重要组成部份D、信息平安技术方案:“从外面内,自下而上,形成边界到端的防护能力”2、人们对信息平安的熟悉从信息技术平安进展到信息平安保障,主若是由于:A、为了更好地完成组织机构的使命B、针对信息系统的解决方式发生重大转变C、风险操纵技术取得革命性的进展D、除保密性,信息的完整性和可用性也引发了人们的关注3、关于信息保障技术框架(IATF),以下哪一种说法是错误的?A、IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的平安保障B、IATF强调深度防御,即对信息系统采纳多层防护,实现组织的业务平安运作C、IATF强调从技术、治理和人等多个角度来保障信息系统的平安D、IATF强调的是以平安检测、漏洞监测和自适应填充“平安间隙”为循环来提高网络平安4、信息系统爱惜轮廓(ISPP)概念了___________A、某种类型信息系统的与实现无关的一组系统级平安保障要求B、某种类型信息系统的与实现相关的一组系统级平安保障要求C、某种类型信息系统的与实现无关的一组系统级平安保障目的D、某种类型信息系统的与实现相关的一组系统级平安保障目的5、下面关于信息平安特点和范围的说法错误的选项是:A、信息安满是一个系统性的问题,不仅要考虑信息系统本身的技术问题,还要考虑人员、治理、政策等众多因素B、信息安满是一个动态的问题,它随着信息技术的进展普及,和产业基础、用户熟悉、投入产出而进展C、信息安满是无边界的平安,互联网使得网络边界愈来愈模糊,因此确信一个组织的信息平安责任是没成心义的D、信息安满是非传统的平安,各类信息网络的互联互通和资源共享,决定了信息平安具有不同于传统平安的特点6C7A8B9C10D6、椭圆曲线密码方案是指:A、基于椭圆曲线上的大整数分解问题构建的密码方案B、通过椭圆曲线方程求解的困难性构建的密码方案C、基于椭圆曲线上有限域离散对数问题构建的密码方案D、通过寻觅是单向陷门函数的椭圆曲线函数构建的密码方案7、hash算法的碰撞是指:A、两个不同的消息,取得相同的消息摘要B、两个相同的消息,取得不同的消息摘要C、消息摘要和消息的长度相同D、消息摘要比消息长度更长8、Alice从Sue那里收到一个发给她的密文,其他人无法解密那个密文,Alice需要用哪个密钥来解密那个密文?A、Alice的公钥B、Alice的私钥C、Sue的公钥D、Sue的私钥9、数字签名应具有的性质不包括:A、能够验证签名者B、能够认证被签名消息C、能够爱惜被签名的数据机密性D、签名必需能够由第三方验证10、Alice有一个消息M通过密钥K和MAC算法生成一个MAC为C(K,M),Alice将那个MAC附加在消息M后面发送给Bob,Bob用密钥K和消息M计算MAC并进行比较,那个进程能够提供什么平安效劳?A、仅提供保密性B、仅提供不可否定性C、提供消息认证D、保密性和消息认证11C12C13B14C15B11、时刻戳的引入主若是为了避免:A、死锁B、丢失C、重放D、拥塞12、与RSA(rivest,shamir,adleman)算法相较,DSS(digital signature standard)不包括:A、数字签名B、辨别机制C、加密机制D、数据完整性13、在数字信封中,综合利用对称加密算法和公钥加密算法的要紧缘故是:A、混合利用两种加密方式能够增加破译者的难度,使其加倍难以破译原文,从而保障信息的保密性B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种折中做法C、两种加密算法的混用,能够提高加密的质量,这是我国密码政策所规定的要求D、数字信封综合采纳这两种算法为的是为了避免收到信息的一方否定他收到了该信息,即抗同意方抵赖14、以下哪个选项是公钥基础设施(PKI)的密钥互换处置流程?(1)接收者解密并获取会话密钥(2)发送者请求接收者的公钥(3)公钥从公钥目录中被发送出去(4)发送者发送一个由接收者的公钥加密过的会话密钥A、4,3,2,1B、2,1,3,4C、2,3,4,1D、2,4,3,115、IPSEC密钥协商方式有:A、一种,手工方式B、二种,手工方式、IKE自动协商C、一种,IKE自动协商D、二种,IKE自动协商、隧道协商16A17D18B19D20D16、以下哪一项不是工作在网络第二层的隧道协议:A、VTPB、L2FC、PPTPD、L2TP17、与PDR模型相较,P2DR模型多了哪个环节?A、防护B、检测C、反映D、策略18、以下有关访问操纵矩阵中行和列中元素的描述正确的选项是:A、行中放用户名,列中放对象名B、行中放程序名,列中放用户名C、列中放用户名,行中放设备名D、列中放题目,行中放程序19、以下哪一种访问操纵模型是通过访问操纵矩阵来操纵主体与客体之间的交互?A、强制访问操纵(MAC)B、集中式访问操纵(Decentralized Access Control)C、散布式访问操纵(Distributed AccessControl)D、自主访问操纵(DAC)20、以下哪一项不是BLP模型的要紧任务:A、概念使得系统取得“平安”的状态集合B、检查所有状态的转变均始于一个“平安状态”并终止于另一个“平安状态”C、检查系统的初始状态是不是为“平安状态”D、选择系统的终止状态21D22A23A24B25D21、访问操纵表与访问能力表相较,具有以下那个特点:A、访问操纵表更易实现访问权限的特点B、访问能力表更易阅读访问权限C、访问操纵表回收访问权限更困难D、访问操纵表更适用于集中式系统22、在Clark-Wilson模型中哪一项不是保证完整性任务的?A、避免职权的滥用B、避免非授权修改C、保护内部和外部的一致性D、避免授权但不适本地修改23、以下对单点登录技术描述不正确的选项是:A、单点登录技术实质是平安凭证在多个用户之间的传递或共享B、利用单点登录技术用户只需在登录时进行一次注册,就能够够访问多个应用C、单点登录不仅方便用户利用,而且也便于治理D、利用单点登录技术能简化应用系统的开发24、辨别的大体途径有三种:所知、所有和个人特点,以下哪一项不是基于你所明白的:A、口令B、令牌C、知识D、密码25、系统审计日记不包括以下哪一项:A、时刻戳B、用户标识C、对象标识D、处置结果26B27B28B29B30C26、以下哪一项不是审计方法的平安目标:A、发觉试图绕过系统平安机制的访问B、记录雇员的工作效率C、记录对访问客体采纳的访问方式D、发觉越权的访问行为27、一个VLAN能够看做是一个:A、冲突域B、广播域C、治理域D、阻塞域28、以下对RADIUS协议说法正确的选项是:A、它是一种B/S结构的协议B、它是一项通用的认证计费协议C、它利用TCP通信D、它的大体组件包括认证、授权和加密29、UDP协议和TCP协议对应于ISO/OSI模型的哪一层?A、链路层B、传输层C、会话层D、表示层30、路由器的扩展访问操纵列表能够检查流量的那些大体信息?A、协议,vtan id,源地址,目标地址B、协议,vian id,源端口,目标端口C、源地址,目地地址,源端口,目标端口,协议D、源地址,目地地址,源端口,目标端口,互换机端口号31A32B33B34C5B31、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行操纵?A、ICMPB、IGMPC、ARPD、SNMP32、TCP采纳第三次握手来成立一个连接,第二次握手传输什么信息:A、SYNB、SYN+ACKC、ACKD、FIN33、某个客户的网络此刻能够正常访问Internet互联网,共有200台终端PC但此客户从ISP(互联网络效劳提供商),互联网最好采取什么方式或技术:A、花更多的钱向ISP申请更多的IP地址B、在网络的出口路由器上做源NATC、在网络的出口路由器上做目的NATD、在网络出口处增加必然数量的路由器34、以下哪个一个项对“ARP”的说明是正确的:A、Access routing protocol----访问路由协议B、Access routing protocol----访问解析协议C、Address resolution protocol-地址解析协议D、Address recovery protocol-地址恢复协议35、下面关于协议的说法错误的选项是?A、传输速度可达到56KbpsB、其优势是反复的错误校验很是费时C、其缺点是反复的错误校验很是费时D、由于它与TCP/IP协议相较处于劣势,因此渐渐被后者淘汰36D37C38D39B40D36、以下关于DMZ区的说法错误的选项是:A、它是网络平安防护的一个“非军事区”B、它是对“深度防御”概念的一种实现方案C、它是一种比较经常使用的网络平安域划分方式D、要想搭建它至少需要两台防火墙37、哪一类防火墙具有依照传输信息的内容(如关键字、文件类型)来操纵访问持续的能力?A、包过滤防火墙B、状态监测防火墙C、应用网关防火墙D、以上都不是38、以下哪一项不属于入侵检测系统的功能A、监视网络上的通信数据流B、捕捉可疑的网络活动C、提供平安审计报告D、过滤非法的数据包39、下面哪一项不是通过IDS模型的组成部份:A、传感器B、过滤器C、分析器D、治理器40、下面哪一项为哪一项对IDS的正确描述?A、基于特点(Signature-based)的系统能够检测新的解决类型B、基于特点(Signature-based)的系统化基于行为(behavior-based)的系统产生更多的误报C、基于行为(behavior-based)的系统保护状态数据库来与数据包和解决相匹配D、基于行为(behavior-based)的系统比基于特点(Signature-based)的系统有更高的误报41D42B43D44D45D41、可信计算技术不能:A、确保系统具有免疫能力,从全然上阻止病毒和黑客等软件的解决B、确保密钥操作和存储的平安C、确保硬件环境配置、操作系统内核、效劳及应用程序的完整性D、使运算机具有更高的稳固性42、chmod 744 test命令执行的结果是:A、test文件的所有者具有执行读写权限,文件所属的组合其它用户有读的权限B、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读的权限C、test文件的所有者具有执行读和执行权限,文件所属的组和其它用户有读的权限D、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读和写的权限43、Linux系统的用户信息保留在passwd中,某用户条款backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的选项是:A、backup账号没有设置登录密码B、backup账号的默许主目录是/var/backupsC、backup账号登岸后利用的shell是/bin/shD、backup账号是无法进行登录44、以下对windows账号的描述,正确的选项是:A、windows系统是采纳SID(平安标识符)来标识用户对文件或文件夹的权限B、windows系统是采纳用户名来标识用户对文件或文件夹的权限C、windows系统默许会生成administration和guest两个账号,两个账号都不许诺更名和删除D、windows系统默许生成administration和guest两个账号,两个账号都能够更名和删除45、以下哪一项不是IIS效劳器支持的访问操纵过滤类型?A、网络地址访问操纵B、web效劳器许可C、NTFS许可D、异样行为过滤46D47C48B49D50C46、以下哪个对windows系统日记的描述是错误的?A、windows系统默许有三个日记,系统日记,应用程序日记,平安日记B、系统日记跟踪各类各样的系统事件,例如跟踪系统启动进程中的事件或硬件和操纵器的故障C、应用日记跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息D、平安日记跟踪各类网络入侵事件,例如拒绝效劳解决、口令暴力破解等47、为了实现数据库的完整性操纵,数据库治理员应向DBMS提出一组完整性规那么来检查数据库中的数据,完整性规那么要紧由三部份组成,以下哪一项不是完整性规那么的内容?A、完整性约束条件B、完整性检查机制C、完整性修复机制D、违约处置机制48、数据库事务日记的用途是什么?A、事务日记B、数据恢复C、完整性约束D、保密性操纵49、以下哪一项不是SQL语言的功能A、数据概念B、数据检查C、数据操纵D、数据加密50、以下哪一项为哪一项和电子邮件系统无关的?A、PEMB、PGP51C52C53C54D55D51、下面关于cookie的说法错误的选项是:A、cookie是一小段存储在阅读器端文本信息,web应用程序能够读取cookie包括的信息B、cookie能够存储一些灵敏的用户信息,从而造成必然的平安风险C、通过cookie提交精妙构造的移动代码,绕过身份验证的解决叫做cookie欺骗D、防范cookie欺骗的一个有效方式是不利用cookie验证方式,而是用session验证方式52、电子商务平安要求的四个方面是:A、传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖B、存储的平安性、传输的高效性、数据的完整性和交易各方的身份认证C、传输的平安性、数据的完整性、交易各方的身份认证和交易不可抵赖性D、存储的平安性、传输的高效性、数据的完整性和交易的不可抵赖性53、Apache Web 效劳器的配置文件一样位于/usr/local/apache/conf目录,其顶用来操纵用户访问Apache目录的配置文件是:A、B、C、D、54、以下哪个是歹意代码采纳的隐藏技术A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是55、以下那种技术不是歹意代码的生存技术?A、反跟踪技术B、加密技术C、模糊变换技术D、自动解紧缩技术56B57B58D59D60D56、以下关于蠕虫病毒的说法错误的选项是:A、通常蠕虫的传播无需用户的操作B、蠕虫病毒的要紧危害体此刻对数据保密性的破坏C、蠕虫的工作原理与病毒相似,除没有感染文件时期D、是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序57、被以下哪一种病毒感染后,会使运算机产生以下现象:系统资源被大量占用,有时会弹出RPC效劳终止的对话框,而且系统反复重启,不能收发邮件、不能正常复制文件、无法正常阅读网页,复制粘贴等操作受到严峻阻碍的,DNS和IIS效劳受到非法拒绝等。
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 降低企业运营成本答案:B2. 在信息安全管理中,风险评估的目的是()。
A. 识别潜在的威胁B. 确定安全措施的成本C. 制定安全策略D. 所有以上选项答案:D3. CISP认证考试中,关于数据加密的说法正确的是()。
A. 对称加密算法比非对称加密算法更安全B. 非对称加密算法需要两个密钥C. 哈希函数是可逆的D. 量子加密是目前最安全的加密方式答案:B4. 以下哪项不属于信息安全管理的基本原则?()。
A. 保密性B. 完整性C. 可用性D. 可追溯性答案:D5. CISP认证考试中,关于网络安全的说法正确的是()。
A. 防火墙可以防止所有类型的网络攻击B. VPN提供了数据传输过程中的加密C. 入侵检测系统可以防止入侵行为的发生D. 网络隔离可以完全避免网络攻击答案:B二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持证人在信息安全领域具有专业知识和技能。
答案:(ISC)²2. 在信息安全领域中,________是一种通过隐藏信息内容来保护数据不被未授权访问的技术。
答案:加密3. 为了确保信息的完整性,通常会使用________技术来验证数据在传输或存储过程中是否被篡改。
答案:哈希函数4. 信息安全管理体系(ISMS)的国际标准是ISO/IEC 27001,它包括了一套用于________的准则和规定。
答案:管理信息安全5. 社会工程学是一种利用人的________来获取敏感信息或未授权访问系统的方法。
答案:心理和行为特点三、简答题1. 简述信息安全的重要性。
答案:信息安全对于保护个人隐私、企业商业秘密、国家安全等方面至关重要。
它可以有效防止数据泄露、网络攻击、身份盗窃等风险,确保信息的保密性、完整性和可用性。
cisp试题及答案
cisp试题及答案CISP试题及答案一、选择题(每题1分,共10分)1. 以下哪项不是CISP的认证目标?A. 提升个人网络安全技能B. 增强组织的信息安全防护能力C. 降低网络攻击的风险D. 提高个人编程能力答案:D2. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 终身有效答案:C3. 以下哪个不是CISP考试的科目?A. 信息安全基础B. 网络安全C. 软件开发D. 风险管理答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机考C. 面试D. 现场操作答案:B5. CISP认证的考试语言是?A. 英语B. 中文C. 法语D. 德语答案:A6. 以下哪项不是CISP认证的考试内容?A. 法律、法规和合规性B. 业务连续性管理C. 网络设备配置D. 信息安全管理答案:C7. CISP认证适合哪些人员?A. IT管理人员B. 网络安全专家C. 软件开发人员D. 所有以上答案:D8. CISP认证的考试通过标准是什么?A. 60%正确率B. 70%正确率C. 80%正确率D. 100%正确率答案:B9. CISP认证的考试费用是多少?A. 1000元B. 2000元C. 3000元D. 4000元答案:C10. CISP认证的考试时长是多少?A. 1小时B. 2小时C. 3小时D. 4小时答案:C二、简答题(每题5分,共20分)1. 简述CISP认证的重要性。
答案:CISP认证对于个人而言,是专业能力的认可,有助于职业发展和技能提升。
对于组织而言,拥有CISP认证的员工可以增强组织的信息安全防护能力,降低信息安全风险。
2. 描述CISP认证的考试流程。
答案:CISP认证考试流程通常包括注册、备考、参加考试、成绩公布和认证证书的颁发。
考生需要在指定的考试中心完成机考,考试合格后,将获得认证证书。
3. 解释CISP认证的继续教育要求。
答案:CISP认证持有者需要每两年完成一定的继续教育学分,以保持认证的有效性。
CISP试题和答案-六套题
CISP试题和答案-六套题1C2A3D4B5C1、下列对于信息安全保障深度防御模型的说法错误的是:A、信息安全外部环境、信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下B、信息安全管理和工程,信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统C、信息安全人才体系,在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分D、信息安全技术方案:“从外面内,自下而上,形成边界到端的防护能力”2、人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:A、为了更好地完成组织机构的使命B、针对信息系统的攻击方式发生重大变化C、风险控制技术得到革命性的发展D、除了保密性,信息的完整性和可用性也引起了人们的关注3、关于信息保障技术框架(IATF),下列哪种说法是错误的?A、IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障B、IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全4、信息系统保护轮廓(ISPP)定义了___________A、某种类型信息系统的与实现无关的一组系统级安全保障要求B、某种类型信息系统的与实现相关的一组系统级安全保障要求C、某种类型信息系统的与实现无关的一组系统级安全保障目的D、某种类型信息系统的与实现相关的一组系统级安全保障目的5、下面对于信息安全特征和范畴的说法错误的是:A、信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术问题,还要考虑人员、管理、政策等众多因素B、信息安全是一个动态的问题,它随着信息技术的发展普及,以及产业基础、用户认识、投入产出而发展C、信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的D、信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点6C7A8B9C10D6、椭圆曲线密码方案是指:A、基于椭圆曲线上的大整数分解问题构建的密码方案B、通过椭圆曲线方程求解的困难性构建的密码方案C、基于椭圆曲线上有限域离散对数问题构建的密码方案D、通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案7、hash算法的碰撞是指:A、两个不同的消息,得到相同的消息摘要B、两个相同的消息,得到不同的消息摘要C、消息摘要和消息的长度相同D、消息摘要比消息长度更长8、Alice从Sue那里收到一个发给她的密文,其他人无法解密这个密文,Alice需要用哪个密钥来解密这个密文?A、Alice的公钥B、Alice的私钥C、Sue的公钥D、Sue的私钥9、数字签名应具有的性质不包括:A、能够验证签名者B、能够认证被签名消息C、能够保护被签名的数据机密性D、签名必须能够由第三方验证10、Alice有一个消息M通过密钥K和MAC算法生成一个MAC 为C(K,M),Alice将这个MAC附加在消息M后面发送给Bob,Bob用密钥K和消息M计算MAC并进行比较,这个过程可以提供什么安全服务?A、仅提供保密性B、仅提供不可否认性C、提供消息认证D、保密性和消息认证11C12C13B14C15B11、时间戳的引入主要是为了防止:A、死锁B、丢失C、重放D、拥塞12、与RSA(rivest,shamir,adleman)算法相比,DSS (digital signature standard)不包括:A、数字签名B、鉴别机制C、加密机制D、数据完整性13、在数字信封中,综合使用对称加密算法和公钥加密算法的主要原因是:A、混合使用两种加密方法可以增加破译者的难度,使其更加难以破译原文,从而保障信息的保密性B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种折中做法C、两种加密算法的混用,可以提高加密的质量,这是我国密码政策所规定的要求D、数字信封综合采用这两种算法为的是为了防止收到信息的一方否认他收到了该信息,即抗接受方抵赖14、下列哪个选项是公钥基础设施(PKI)的密钥交换处理流程?(1)接收者解密并获取会话密钥(2)发送者请求接收者的公钥(3)公钥从公钥目录中被发送出去(4)发送者发送一个由接收者的公钥加密过的会话密钥A、4,3,2,1B、2,1,3,4C、2,3,4,1D、2,4,3,115、IPSEC密钥协商方式有:A、一种,手工方式B、二种,手工方式、IKE自动协商C、一种,IKE自动协商D、二种,IKE自动协商、隧道协商16A17D18B19D20D16、以下哪一项不是工作在网络第二层的隧道协议:A、VTPB、L2FC、PPTPD、L2TP17、与PDR模型相比,P2DR模型多了哪一个环节?A、防护B、检测C、反应D、策略18、以下有关访问控制矩阵中行和列中元素的描述正确的是:A、行中放用户名,列中放对象名B、行中放程序名,列中放用户名C、列中放用户名,行中放设备名D、列中放标题,行中放程序19、下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互?A、强制访问控制(MAC)B、集中式访问控制(Decentralized Access Control)C、分布式访问控制(Distributed AccessControl)D、自主访问控制(DAC)20、以下哪一项不是BLP模型的主要任务:A、定义使得系统获得“安全”的状态集合B、检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态”C、检查系统的初始状态是否为“安全状态”D、选择系统的终止状态21D22A23A24B25D21、访问控制表与访问能力表相比,具有以下那个特点:A、访问控制表更容易实现访问权限的特点B、访问能力表更容易浏览访问权限C、访问控制表回收访问权限更困难D、访问控制表更适用于集中式系统22、在Clark-Wilson模型中哪一项不是保证完整性任务的?A、防止职权的滥用B、防止非授权修改C、维护内部和外部的一致性D、防止授权但不适当地修改23、以下对单点登录技术描述不正确的是:A、单点登录技术实质是安全凭证在多个用户之间的传递或共享B、使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用C、单点登录不仅方便用户使用,而且也便于管理D、使用单点登录技术能简化应用系统的开发24、鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:A、口令B、令牌C、知识D、密码25、系统审计日志不包括以下哪一项:A、时间戳B、用户标识C、对象标识D、处理结果26B27B28B29B30C26、以下哪一项不是审计措施的安全目标:A、发现试图绕过系统安全机制的访问B、记录雇员的工作效率C、记录对访问客体采用的访问方式D、发现越权的访问行为27、一个VLAN可以看做是一个:A、冲突域B、广播域C、管理域D、阻塞域28、以下对RADIUS协议说法正确的是:A、它是一种B/S结构的协议B、它是一项通用的认证计费协议C、它使用TCP通信D、它的基本组件包括认证、授权和加密29、UDP协议和TCP协议对应于ISO/OSI模型的哪一层?A、链路层B、传输层C、会话层D、表示层30、路由器的扩展访问控制列表能够检查流量的那些基本信息?A、协议,vtan id,源地址,目标地址B、协议,vian id,源端口,目标端口C、源地址,目地地址,源端口,目标端口,协议D、源地址,目地地址,源端口,目标端口,交换机端口号31A32B33B34C5B31、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行控制?A、ICMPB、IGMPC、ARPD、SNMP32、TCP采用第三次握手来建立一个连接,第二次握手传输什么信息:A、SYNB、SYN+ACKC、ACKD、FIN33、某个客户的网络现在可以正常访问Internet互联网,共有200台终端PC但此客户从ISP (互联网络服务提供商),互联网最好采取什么方法或技术:A、花更多的钱向ISP申请更多的IP地址B、在网络的出口路由器上做源NATC、在网络的出口路由器上做目的NATD、在网络出口处增加一定数量的路由器34、以下哪个一个项对“ARP”的解释是正确的:A、Access routing protocol----访问路由协议B、Access routing protocol----访问解析协议C、Address resolution protocol-地址解析协议D、Address recovery protocol-地址恢复协议35、下面对于X.25协议的说法错误的是?A、传输速率可达到56KbpsB、其优点是反复的错误校验颇为费时C、其缺点是反复的错误校验颇为费时D、由于它与TCP/IP协议相比处于劣势,所以渐渐被后者淘汰36D37C38D39B40D36、下列对于DMZ区的说法错误的是:A、它是网络安全防护的一个“非军事区”B、它是对“深度防御”概念的一种实现方案C、它是一种比较常用的网络安全域划分方式D、要想搭建它至少需要两台防火墙37、哪一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问连续的能力?A、包过滤防火墙B、状态监测防火墙C、应用网关防火墙D、以上都不是38、以下哪一项不属于入侵检测系统的功能A、监视网络上的通信数据流B、捕捉可疑的网络活动C、提供安全审计报告D、过滤非法的数据包39、下面哪一项不是通过IDS模型的组成部分:A、传感器B、过滤器C、分析器D、管理器40、下面哪一项是对IDS的正确描述?A、基于特征(Signature-based)的系统可以检测新的攻击类型B、基于特征(Signature-based)的系统化基于行为(behavior-based)的系统产生更多的误报C、基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配D、基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报41D42B43D44D45D41、可信计算技术不能:A、确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击B、确保密钥操作和存储的安全C、确保硬件环境配置、操作系统内核、服务及应用程序的完整性D、使计算机具有更高的稳定性42、chmod 744 test命令执行的结果是:A、test文件的所有者具有执行读写权限,文件所属的组合其它用户有读的权限B、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读的权限C、test文件的所有者具有执行读和执行权限,文件所属的组和其它用户有读的权限D、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读和写的权限43、Linux系统的用户信息保存在passwd中,某用户条目backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的是:A、backup账号没有设置登录密码B、backup账号的默认主目录是/var/backupsC、backup账号登陆后使用的shell是/bin/shD、backup账号是无法进行登录44、以下对windows账号的描述,正确的是:A、windows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除D、windows系统默认生成administration和guest两个账号,两个账号都可以改名和删除45、以下哪一项不是IIS服务器支持的访问控制过滤类型?A、网络地址访问控制B、web服务器许可C、NTFS许可D、异常行为过滤46D47C48B49D50C46、以下哪个对windows系统日志的描述是错误的?A、windows系统默认有三个日志,系统日志,应用程序日志,安全日志B、系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障C、应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息D、安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等47、为了实现数据库的完整性控制,数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据,完整性规则主要由三部分组成,以下哪一项不是完整性规则的内容?A、完整性约束条件B、完整性检查机制C、完整性修复机制D、违约处理机制48、数据库事务日志的用途是什么?A、事务日志B、数据恢复C、完整性约束D、保密性控制49、以下哪一项不是SQL语言的功能A、数据定义B、数据检查C、数据操纵D、数据加密50、以下哪一项是和电子邮件系统无关的?A、PEMB、PGPC、X.500D、X.40051C52C53C54D55D51、下面对于cookie的说法错误的是:A、cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息,从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法,而是用session验证方法52、电子商务安全要求的四个方面是:A、传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖B、存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证C、传输的安全性、数据的完整性、交易各方的身份认证和交易不可抵赖性D、存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性53、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:A、httpd.confB、srm.confC、access.confD、inetd.conf54、以下哪个是恶意代码采用的隐藏技术A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是55、下列那种技术不是恶意代码的生存技术?A、反跟踪技术B、加密技术C、模糊变换技术D、自动解压缩技术56B57B58D59D60D56、以下对于蠕虫病毒的说法错误的是:A、通常蠕虫的传播无需用户的操作B、蠕虫病毒的主要危害体现在对数据保密性的破坏C、蠕虫的工作原理与病毒相似,除了没有感染文件阶段D、是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序57、被以下哪种病毒感染后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响的,DNS和IIS服务遭到非法拒绝等。
CISP试题及答案-7套题详解
1.下面关于信息安全保障的说法正确的是:A.信息安全保障的概念是与信息安全的概念同时产生的B.信息系统安全保障要素包括信息的完整性、可用性和保密性C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施在系统的生命周期内确保信息的安全属性2.根据《GB/T20274信息安全保障评估框架》,对信息系统安全保障能力进行评估应A.信息安全管理和信息安全技术2个方面进行B.信息安全管理、信息安全技术和信息安全工程3个方面进行C.信息安全管理、信息安全技术、信息安全工程和人员4个方面进行D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进行3.哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征4.对于信息安全发展历史描述正确的是:A.信息安全的概念是随着计算机技术的广泛应用而诞生的B.目前信息安全己经发展到计算机安全的阶段C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人员同样是促进系统安全性的重要因素D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”,再到“信息安全”,直至现在的“信息安全保障”5.ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务A.加密B.数字签名C.访问控制D.路由控制6.表示层7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性A.ITSECB.TCSECC.GB/T9387.2D.彩虹系列的橙皮书8.下面对于CC的“保护轮廓”(PP)的说法最准确的是:A.对系统防护强度的描述B.对评估对象系统进行规范化的描述C.对一类TOE的安全需求,进行与技术实现无关的描述D.由一系列保证组件构成的包,可以代表预先定义的保证尺度9.以下哪一项属于动态的强制访问控制模型?A.Bell一Lapudufa模型B.10.C.Strong star property处于D.Bell一Lapadula模型的访问规则主要是出于对保密性的保护而制定的11.下面对于强制访问控制的说法错误的是?A它可以用来实现完整性保护,也可以用来实现机密性保护B在强制访问控制的系统中,用户只能定义客体的安全属性C它在军方和政府等安全要求很高的地方应用较多D它的缺点是使用中的便利性比较低12.以下哪两个安全模型分别是多级完整性模型和多边保密模型?A.Biba模型和Bell一Lapadula模型B.Bell一Lapaduia模型和Biba模型C.Chinese Wall模型和Bell一Lapadula模型D.Biba模型和Chinese Wall模型13.在一个使用Chinese Wall模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个兴趣冲突域中,那么可以确定一个新注册的用户:A.只有访问了W之后,才可以访问XB.只有访问了W之后,才可以访问Y和Z中的一个C.无论是否访问W,都只能访问Y和Z中的一个D.无论是否访问W,都不能访问Y或Z14.BMA访问控制模型是基于A.健康服务网络B.ARPANETC.ISPD.INTERNET15.16.证书持有者的公钥证书颁发机构的签名证书有效期17.下面关于密码算法的说法错误的是?A.分组密码又称作块加密B.流密码又称作序列密码C.DES算法采用的是流密码D.序列密码每次加密一位或一个字节的明文18.下面对于SSH的说法错误的是?A.SSH是Secure Shell的简称B.客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证C.通常Linux操作系统会在/usr/local目录下默认安装OpenSSHD.SSH2比SSH1更安全19.下面对于标识和鉴别的解释最准确的是:A.标识用于区别不同的用户,而鉴别用于验证用户身份的真实性B.标识用于区别不同的用户,而鉴别用于赋予用户权限C.标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性D.标识用于保证用户信息的完整性,而鉴别用于赋予用户权限20.指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:A.你是什么B.你有什么C.你知道什么D.你做了什么21.安全审计是对系统活动和记录的独立检查和验证,以下哪一项不是审计系统的A.辅助辨识和分析未经授权的活动或攻击B.对与己建立的安全策略的一致性进行核查C.及时阻断违反安全策略的访问D.帮助发现需要改进的安全控制措施22.下面哪一项不是通用IDS模型的组成部分:A.传感器B.过滤器23.24.以下哪一项属于物理安全方面的管理控制措施?A.照明B.护柱C.培训D.建筑设施的材料25.以下哪种不是火灾探测器类型:A.电离型烟传感器B.光电传感器C.声学震动探测系统D.温度传感器26.以下关于事故的征兆和预兆说法不正确的是:A.预兆是事故可能在将来出现的标志B.征兆是事故可能己经发生或正在发生的标志C.预兆和征兆的来源包括网络和主机IDS、防病毒软件、系统和网络日志D.所有事故的预兆和征兆都是可以发现的27.组织机构应根据事故类型建立揭制策略,需要考虑以下几个因素,除了:A、实施策略需要的时间和资源B、攻击者的动机C、服务可用性D、证据保留的时间28、下面安全套接字层协议(SSL)的说法错误的是?A、它是一种基于Web应用的安全协议B、由于SSL是内嵌的浏览器中的,无需安全客户端软件,所以相对于IPSEC更简C、SSL与IPSec一样都工作在网络层D、SSL可以提供身份认证、加密和完整性校验的功能29、用来为网络中的主机自动分配IP地址、子网掩码、默认网关、wins服务器地址的网?A、ARPB、IGMPC、ICMPD、DHCP301下面哪一项不是VPN协议标准:A、L2TPB、ipsecC、TACACS+D、PPTP30、IPSEC的两种使用模式分别是_______和_____A传输模式、安全壳模式B传输模式、隧道模式C隧道模式、ESP模式D安全壳模式、AH模式31、组成IPSEC的主要安全协议不包括以下哪一项:A、ESPB、DSSC、IKED、AH32、在UNIX系统中输入命令“LS-al test”显示如下;-rwxr-xr-x3root root1024Sep1311:58test”对他的含义解释错误的是:A、这是一个文件,而不是目录B、文件的拥有者可以对这个文件读、写和执行的操作C、文件所属组的成员有可以读它,也可以执行它D、其他所有用户只可以执行它33、计算机具有的IP地址是有限的,但通常计算机会开启多项服务或运行多个应用程序,那么如何在网络通信中对这些程序或服务进行单独标识?A分配网络端口号(如ftp服务对应21端口)B利用MAC地址C使用子网掩码D利用PKI/CA34、Apache Web服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:A httpd.confB srm.confC inetd.confD access.conf35、下面哪一项是操作系统中可信通路(trust path)机制的实例?A Window系统中ALT+CTRL+DELB root在Linux系统上具有绝对的权限C以root身份作任何事情都要谨慎D控制root用户的登录可以在/etc/security目录下的access.conf文件中进行设置36、以下对Windows服务的说法错误的是()A为了提升系统的安全性管理员应尽量关闭不需要的服务B Windows服务只有在用户成功登录系统后才能运行C可以作为独立的进程运行或以DLL的形式依附在Svchost.exeD windows服务通常是以管理员的身份运行的37、以下哪一项不是IIS服务器支持的访问控制过滤类型?A网络地址访问控制B web服务器许可C NTFS许可D异常行为过滤38、下列哪一项与数据库的安全有直接关系?A访问控制的粒度B数据库的大小C关系表中属性的数量D关系表中元组的数量39、下列哪一组Oracle数据库的默认用户名和默认口令?A用户名:“Scott”;口令:“tiger”B用户名:“Sa”;口令:“nullr”C用户名:“root”;口令:“null”D用户名:“admin”;口令:“null”40、关于数据库安全的说法错误的是?A数据库系统的安全性很大程度上依赖于DBMS的安全机制B许多数据库系统在操作系统一下文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件C为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段D数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护42、下面关于计算机恶意代码发展趋势的说法错误的是:A木马和病毒盗窃日益猖獗B利用病毒犯罪的组织性和趋利性增加C综合利用多种编程新技术、对抗性不断增加D复合型病毒减少,而自我保护功能增加43、关于网页中的恶意代码,下列说法错误的是:A网页中的恶意代码只能通过IE浏览器发挥作用B网页中恶意代码可以修改系统注册表C网页中的恶意代码可以修改系统文件D网页中的恶意代码可以窃取用户的机密性文件44、下面对于“电子邮件炸弹”的解释最准确的是:A邮件正文中包含的恶意网站链接B邮件附件中具有强破坏性的病毒C社会工程的一种方式,具有恐吓内容的邮件D在短时间内发送大量邮件软件,可以造成目标邮箱爆满45、以下哪一项是常见Web站点脆弱性扫描工具:A SnifferB NmapC AppscanD LC46、下面哪一项不是安全编程的原则A尽可能使用高级语言进行编程B尽可能让程序只实现需要的功能C不要信任用户输入的数据D尽可能考虑到意外的情况,并设计妥善的处理方法47、黑客进行攻击的最后一个步骤是:A侦查与信息收集B漏洞分析与目标选定C获取系统权限D打扫战场、清楚证据48、下面哪一项是缓冲溢出的危害?A可能导致shellcode的执行而非法获取权限,破坏系统的保密性B执行shellcode后可能进行非法控制,破坏系统的完整性C可能导致拒绝服务攻击,破坏系统的可用性D以上都是49、以下哪一项是DOS攻击的一个实例A SQL注入B IP SpoofC Smurf攻击D字典破解50、以下对于蠕虫病毒的错误说法是()A通常蠕虫的传播无需用户的操作B蠕虫病毒的主要危害体现在对数据保密的破坏C蠕虫的工作原理与病毒相似,除了没有感染文件D是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统51、以下哪一项不是跨站脚本攻击?A给网站挂马B盗取COOKIEC伪造页面信息D暴力破解密码52.对能力成熟度模型解释最准确的是?A.它认为组织的能力依赖与严格定义,管理完善,可测可控的有效业务过程。
CISP整理试题及答案
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A。
操作系统B。
网络C。
数据库D. 应用程序系统答案:A2.下述攻击手段中不属于DOS攻击的是:()A. Smurf攻击B. Land攻击C. Teardrop攻击D。
CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A. “普密”、“商密”两个级别B. “低级”和“高级”两个级别C. “绝密”、“机密”、“秘密" 三个级别D. “一密"、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B。
单元测试、系统测试、集成测试、验收测试C。
验收测试、单元测试、集成测试、系统测试D。
单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A。
一楼B. 地下室C。
顶楼D. 除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B。
认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列.C。
对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D。
通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D.7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A。
系统管理员B. 律师C。
恢复协调员D. 硬件和软件厂商答案:B。
8.下面的哪种组合都属于多边安全模型?A。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、以下对信息安全描述不正确得就是A、信息安全得基本要素包括保密性、完整性与可用性B、信息安全就就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成得影响减到最小,确保组织业务运行得连续性C、信息安全就就是不出安全事故/事件D、信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2、以下对信息安全管理得描述错误得就是A、保密性、完整性、可用性B、抗抵赖性、可追溯性C、真实性私密性可靠性D、增值性【答案】D3、以下对信息安全管理得描述错误得就是A、信息安全管理得核心就就是风险管理B、人们常说,三分技术,七分管理,可见管理对信息安全得重要性C、安全技术就是信息安全得构筑材料,安全管理就是真正得粘合剂与催化剂D、信息安全管理工作得重点就是信息系统,而不就是人【答案】D4、企业按照ISO27001标准建立信息安全管理体系得过程中,对关键成功因素得描述不正确得就是A、不需要全体员工得参入,只要IT部门得人员参入即可B、来自高级管理层得明确得支持与承诺C、对企业员工提供必要得安全意识与技能得培训与教育D、所有管理者、员工及其她伙伴方理解企业信息安全策略、指南与标准,并遵照执行【答案】A5、信息安全管理体系(ISMS)就是一个怎样得体系,以下描述不正确得就是A、ISMS就是一个遵循PDCA模式得动态发展得体系B、ISMS就是一个文件化、系统化得体系C、ISMS采取得各项风险控制措施应该根据风险评估等途径得出得需求而定D、ISMS应该就是一步到位得,应该解决所有得信息安全问题【答案】D6、PDCA特征得描述不正确得就是A、顺序进行,周而复始,发现问题,分析问题,然后就是解决问题B、大环套小环,安全目标得达成都就是分解成多个小目标,一层层地解决问题C、阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D、信息安全风险管理得思路不符合PDCA得问题解决思路【答案】D7、以下哪个不就是信息安全项目得需求来源A、国家与地方政府法律法规与合同得要求B、风险评估得结果C、组织原则目标与业务需要D、企业领导得个人意志【答案】D8、ISO27001认证项目一般有哪几个阶段?A、管理评估,技术评估,操作流程评估B、确定范围与安全方针,风险评估,风险控制(文件编写),体系运行,认证C、产品方案需求分析,解决方案提供,实施解决方案D、基础培训,RA培训,文件编写培训,内部审核培训【答案】B9、构成风险得关键因素有哪些?A、人,财,物B、技术,管理与操作C、资产,威胁与弱点D、资产,可能性与严重性【答案】C10、以下哪些不就是应该识别得信息资产?A、网络设备B、客户资料C、办公桌椅D、系统管理员【答案】C11、以下哪些就是可能存在得威胁因素?BA、设备老化故障B、病毒与蠕虫C、系统设计缺陷D、保安工作不得力【答案】B12、以下哪些不就是可能存在得弱点问题?A、保安工作不得力B、应用系统存在BugC、内部人员故意泄密D、物理隔离不足【答案】C13、风险评估得过程中,首先要识别信息资产,资产识别时,以下哪个不就是需要遵循得原则?A、只识别与业务及信息系统有关得信息资产,分类识别B、所有公司资产都要识别C、可以从业务流程出发,识别各个环节与阶段所需要以及所产出得关键资产D、资产识别务必明确责任人、保管者与用户【答案】B14、风险分析得目得就是?A、在实施保护所需得成本与风险可能造成得影响之间进行技术平衡;B、在实施保护所需得成本与风险可能造成得影响之间进行运作平衡;C、在实施保护所需得成本与风险可能造成得影响之间进行经济平衡;D、在实施保护所需得成本与风险可能造成得影响之间进行法律平衡;【答案】C15、对于信息安全风险得描述不正确得就是?A、企业信息安全风险管理就就是要做到零风险B、在信息安全领域,风险(Risk)就就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C、风险管理(Risk Management)就就是以可接受得代价,识别控制减少或消除可能影响信息系统得安全风险得过程。
D、风险评估(Risk Assessment)就就是对信息与信息处理设施面临得威胁、受到得影响、存在得弱点以及威胁发生得可能性得评估。
【答案】A16、有关定性风险评估与定量风险评估得区别,以下描述不正确得就是A、定性风险评估比较主观,而定量风险评估更客观B、定性风险评估容易实施,定量风险评估往往数据准确性很难保证C、定性风险评估更成熟,定量风险评估还停留在理论阶段D、定性风险评估与定量风险评估没有本质区别,可以通用【答案】D17、降低企业所面临得信息安全风险,可能得处理手段不包括哪些A、通过良好得系统设计、及时更新系统补丁,降低或减少信息系统自身得缺陷B、通过数据备份、双机热备等冗余手段来提升信息系统得可靠性;C、建立必要得安全制度与部署必要得技术手段,防范黑客与恶意软件得攻击D、通过业务外包得方式,转嫁所有得安全风险【答案】D18、风险评估得基本过程就是怎样得?A、识别并评估重要得信息资产,识别各种可能得威胁与严重得弱点,最终确定风险B、通过以往发生得信息安全事件,找到风险所在C、风险评估就就是对照安全检查单,查瞧相关得管理与技术措施就是否到位D、风险评估并没有规律可循,完全取决于评估者得经验所在【答案】A19、企业从获得良好得信息安全管控水平得角度出发,以下哪些行为就是适当得A、只关注外来得威胁,忽视企业内部人员得问题B、相信来自陌生人得邮件,好奇打开邮件附件C、开着电脑离开,就像离开家却忘记关灯那样D、及时更新系统与安装系统与应用得补丁【答案】D20、以下对ISO27001标准得描述不正确得就是A、企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范得所有要求B、ISO27001标准与信息系统等级保护等国家标准相冲突C、ISO27001就是源自于英国得国家标准BS7799D、ISO27001就是当前国际上最被认可得信息安全管理标准【答案】B21、对安全策略得描述不正确得就是A、信息安全策略(或者方针)就是由组织得最高管理者正式制订与发布得描述企业信息安全目标与方向,用于指导信息安全管理体系得建立与实施过程B、策略应有一个属主,负责按复查程序维护与复查该策略C、安全策略得内容包括管理层对信息安全目标与原则得声明与承诺;D、安全策略一旦建立与发布,则不可变更;【答案】D22、以下对企业信息安全活动得组织描述不正确得就是A、企业应该在组织内建立发起与控制信息安全实施得管理框架。
B、企业应该维护被外部合作伙伴或者客户访问与使用得企业信息处理设施与信息资产得安全。
C、在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。
应该让外部伙伴意识到其责任与必须遵守得规定。
D、企业在开展业务活动得过程中,应该完全相信员工,不应该对内部员工采取安全管控措施【答案】D23、企业信息资产得管理与控制得描述不正确得就是A、企业应该建立与维护一个完整得信息资产清单,并明确信息资产得管控责任;B、企业应该根据信息资产得重要性与安全级别得不同要求,采取对应得管控措施;C、企业得信息资产不应该分类分级,所有得信息系统要统一对待D、企业可以根据业务运作流程与信息系统拓扑结构来识别所有得信息资产【答案】C24、有关人员安全得描述不正确得就是A、人员得安全管理就是企业信息安全管理活动中最难得环节B、重要或敏感岗位得人员入职之前,需要做好人员得背景检查C、企业人员预算受限得情况下,职责分离难以实施,企业对此无能为力,也无需做任何工作D、人员离职之后,必须清除离职员工所有得逻辑访问帐号【答案】C25、以下有关通信与日常操作描述不正确得就是A、信息系统得变更应该就是受控得B、企业在岗位设计与人员工作分配时应该遵循职责分离得原则C、移动介质使用就是一个管理难题,应该采取有效措施,防止信息泄漏D、内部安全审计无需遵循独立性、客观性得原则【答案】D26、以下有关访问控制得描述不正确得就是A、口令就是最常见得验证身份得措施,也就是重要得信息资产,应妥善保护与管理B、系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,即分配给员工得访问权限只需满足其工作需要得权限,工作之外得权限一律不能分配C、单点登录系统(一次登录/验证,即可访问多个系统)最大得优势就是提升了便利性,但就是又面临着“把所有鸡蛋放在一个篮子”得风险;D、双因子认证(又称强认证)就就是一个系统需要两道密码才能进入;【答案】D27、有关信息系统得设计、开发、实施、运行与维护过程中得安全问题,以下描述错误得就是A、信息系统得开发设计,应该越早考虑系统得安全需求越好B、信息系统得设计、开发、实施、运行与维护过程中得安全问题,不仅仅要考虑提供一个安全得开发环境,同时还要考虑开发出安全得系统C、信息系统在加密技术得应用方面,其关键就是选择密码算法,而不就是密钥得管理D、运营系统上得敏感、真实数据直接用作测试数据将带来很大得安全风险【答案】C28、有关信息安全事件得描述不正确得就是A、信息安全事件得处理应该分类、分级B、信息安全事件得数量可以反映企业得信息安全管控水平C、某个时期内企业得信息安全事件得数量为零,这意味着企业面临得信息安全风险很小D、信息安全事件处理流程中得一个重要环节就是对事件发生得根源得追溯,以吸取教训、总结经验,防止类似事情再次发生【答案】C29、以下有关信息安全方面得业务连续性管理得描述,不正确得就是A、信息安全方面得业务连续性管理就就是要保障企业关键业务在遭受重大灾难/破坏时,能够及时恢复,保障企业业务持续运营B、企业在业务连续性建设项目一个重要任务就就是识别企业关键得、核心业务C、业务连续性计划文档要随着业务得外部环境得变化,及时修订连续性计划文档D、信息安全方面得业务连续性管理只与IT部门相关,与其她业务部门人员无须参入【答案】D30、企业信息安全事件得恢复过程中,以下哪个就是最关键得?A、数据B、应用系统C、通信链路D、硬件/软件【答案】A31、企业ISMS(信息安全管理体系)建设得原则不包括以下哪个A、管理层足够重视B、需要全员参与C、不必遵循过程得方法D、需要持续改进【答案】C32、PDCA特征得描述不正确得就是A、顺序进行,周而复始,发现问题,分析问题,然后就是解决问题B、大环套小环,安全目标得达成都就是分解成多个小目标,一层层地解决问题C、阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D、信息安全风险管理得思路不符合PDCA得问题解决思路【答案】D33、对于在ISMS内审中所发现得问题,在审核之后应该实施必要得改进措施并进行跟踪与评价,以下描述不正确得就是?A、改进措施包括纠正与预防措施B、改进措施可由受审单位提出并实施C、不可以对体系文件进行更新或修改D、对改进措施得评价应该包括措施得有效性得分析【答案】C34、ISMS得审核得层次不包括以下哪个?A、符合性审核B、有效性审核C、正确性审核D、文件审核【答案】C35、以下哪个不可以作为ISMS管理评审得输入A、ISMS审计与评审得结果B、来自利益伙伴得反馈C、某个信息安全项目得技术方案D、预防与纠正措施得状态【答案】C36、有关认证与认可得描述,以下不正确得就是A、认证就就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书)B、根据对象得不同,认证通常分为产品认证与体系认证C、认可就是由某权威机构依据程序对某团体或个人具有从事特定任务得能力给予得正式承认D、企业通过ISO27001认证则说明企业符合ISO27001与ISO27002标准得要求【答案】D37、信息得存在及传播方式A、存在于计算机、磁带、纸张等介质中B、记忆在人得大脑里C、、通过网络打印机复印机等方式进行传播D、通过投影仪显示【答案】D38、下面哪个组合不就是就是信息资产A、硬件、软件、文档资料B、关键人员C、、组织提供得信息服务D、桌子、椅子【答案】D39、实施ISMS内审时,确定ISMS得控制目标、控制措施、过程与程序应该要符合相关要求,以下哪个不就是?A、约定得标准及相关法律得要求B、已识别得安全需求C、控制措施有效实施与维护D、ISO13335风险评估方法【答案】D40、以下对审核发现描述正确得就是A、用作依据得一组方针、程序或要求B、与审核准则有关得并且能够证实得记录、事实陈述或其她信息C、将收集到得审核证据依照审核准则进行评价得结果,可以就是合格/符合项,也可以就是不合格/不符合项D、对审核对象得物理位置、组织结构、活动与过程以及时限得描述【答案】C41、ISMS审核常用得审核方法不包括?A、纠正预防B、文件审核C、现场审核D、渗透测试【答案】A42、ISMS得内部审核员(非审核组长)得责任不包括?A、熟悉必要得文件与程序;B、根据要求编制检查列表;C、配合支持审核组长得工作,有效完成审核任务;D、负责实施整改内审中发现得问题;【答案】D43、审核在实施审核时,所使用得检查表不包括得内容有?A、审核依据B、审核证据记录C、审核发现D、数据收集方法与工具【答案】C44、ISMS审核时,首次会议得目得不包括以下哪个?A、明确审核目得、审核准则与审核范围B、明确审核员得分工C、明确接受审核方责任,为配合审核提供必要资源与授权D、明确审核进度与审核方法,且在整个审核过程中不可调整【答案】D45、ISMS审核时,对审核发现中,以下哪个就是属于严重不符合项?A、关键得控制程序没有得到贯彻,缺乏标准规定得要求可构成严重不符合项B、风险评估方法没有按照ISO27005(信息安全风险管理)标准进行C、孤立得偶发性得且对信息安全管理体系无直接影响得问题;D、审核员识别得可能改进项【答案】D46、以下关于ISMS内部审核报告得描述不正确得就是?A、内审报告就是作为内审小组提交给管理者代表或最高管理者得工作成果B、内审报告中必须包含对不符合性项得改进建议C、内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商,核实报告内容。