CISP模拟考试100题及答案(最新整理)

CISP模拟考试100题及答案（最新整理）

1、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？B

A必须是TAMPERPROOF

B必须足够大

C必须足够小

D必须总在其中

2、CTCPEC标准中，安全功能要求包括以下哪方面内容？ABDE

A机密性要求

B完整性要求；

C保证要求；

D可用性要求；

E可控性要求

3、TCP/IP协议的4层概念模型是？A

A.应用层、传输层、网络层和网络接口层

B.应用层、传输层、网络层和物理层

C.应用层、数据链路层、网络层和网络接口层

D.会话层、数据链路层、网络层和网络接口层

4、中国信息安全产品测评认证中心的四项业务是什么？ABCD

A.产品测评认证；

B.信息系统安全测评认证；

C.信息系统安全服务资质认证；

D.注册信息安全专业人员资质认证

5、以下哪一项对安全风险的描述是准确的？C

A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。

B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。

C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性

D、安全风险是指资产的脆弱性被威胁利用的情形。

6、以下哪些不属于脆弱性范畴？A

A、黑客攻击

B、操作系统漏洞

C、应用程序BUG

D、人员的不良操作习惯

7、依据信息系统安全保障模型，以下那个不是安全保证对象A

A、机密性

B、管理

C、过程

D、人员

8、系统审计日志不包括以下哪一项？D

A、时间戳

B、用户标识

C、对象标识

D、处理结果

9、TCP三次握手协议的第一步是发送一个：A

A、SYN包

B、SCK包

C、UDP包

D、NULL包

10、以下指标可用来决定在应用系统中采取何种控制措施，除了（）B

A、系统中数据的重要性

B、采用网络监控软件的可行性

C、如果某具体行动或过程没有被有效控制，由此产生的风险等级

D、每个控制技术的效率，复杂性和花费

11、用户如果有熟练的技术技能且对程序有详尽的了解，就能巧妙的避过安全性程序，对生产程序做出更改。为防止这种可能，要增强：B

A、工作处理报告的复查

B、生产程序于被单独控制的副本之间的比较

C、周期性测试数据的运行

D、恰当的责任分割

12、我国的强制性国家标准的写法？A

A、GB

13、OSI中哪一层不提供机密性服务？D

A、表示层

B、传输层

C、网络层

D、会话层

14、程序安全对应用安全有很大的影响，因此安全编程的一个重要环节。用软件工程的方法编制程序是保证安全的根本。在程序设计阶段，推荐使用的方法有：A

a建立完整的与安全相关的程序文件b严格控制程序库c正确选用程序开发工具d制定适当的程序访问控制

A. a、b、c、d

B. a、b、c

C. b、c、d

D. b、c

15、Chinese Wall模型的设计宗旨是：A

A、用户只能访问那些与已经拥有的信息不冲突的信息

B、用户可以访问所有的信息

C、用户可以访问所有已经选择的信息

D、用户不可以访问那些没有选择的信息

16、对不同的身份鉴别方法所提供的按防止重用攻击从大到小：C

A、仅用口令，口令及个人识别号（PIN），口令响应，一次性口令

B、口令及个人识别号（PIN），口令响应，一次性口令，仅由口令

C、口令响应，一次性口令，口令及个人识别号（PIN），仅有口令

D、口令响应，口令及个人识别号（PIN），一次性口令，仅有口令

17、下面那个协议在TCP/IP协议的低层起作用？B

A、SSL

B、SKIP

C、S-HTTP

D、S-PPC

18、UDP端口扫描的依据是：A

A、根据扫描对放开房端口返回的信息判断

B、根据扫描对方关闭端口返回的信息判断

C、综合考虑A和B的情况进行判断

D、既不根据A也不根据B

19、企业内部互联网可以建立在企业内部网络上或是互联网上。以下哪一项控制机制是最不合适于在互联网上建立一个安全企业内部互联网的？B

A、用户信道加密

B、安装加密的路由器

C、安装加密的防火墙

D、在私有的网络服务器上实现密码控制机制

20、以下的危险情况哪一个不适与数字签名和随机数字有关的？D

A、伪装

B、重复攻击

C、密码威胁

D、拒绝服务

21、安全标志和访问控制策略是由下面哪一个访问控制制度所支持的？D

A、基于身份的制度

B、基于身份认证的制度

C、用户指导制度

D、强制访问控制制度

22、以下哪个安全特征和机制是SQL数据库所特有的？B

A、标识和鉴别

B、交易管理

C、审计

D、故障承受机制

23、下面有关IPSec的描述中错误的是？A

A、IETF中的IPSEC标准夭折在用户和设备之间建立一个加密通道

B、VPN设备常常不能符合IPSEC标准

24、“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为：C

A、普密、商密两个级别

B、低级和高级两个级别

C、绝密、机密、秘密三个级别

D、一密、二密、三密、四密四个级别

25、除了对访问、处理、程序变更和其他功能进行控制外，为保障系统的安全需要仍需要建立信息审计追踪。在一个用来记录非法的系统访问尝试的审计追踪日志中，一般不会包括下列哪项信息？D

A、授权用户列表

B、事件或交易尝试的类型

C、进行尝试的终端