CISP样题-含答案

1.以下对信息安全问题产生的根源描述最准确的是：

A. 信息安全问题是由于信息技术的不断发展造成的

B. 信息安全问题是由于黑客组织和犯罪集团追求名和利造成的

C. 信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的

D. 信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏

2.中国信息安全测评中心对 CISP 注册信息安全专业人员有保持认证要求，在证书有效期

内，应完成至少 6 次完整的信息安全服务经历，以下哪项不是信息安全服务：

A、为政府单位信息系统进行安全方案设计

B、在信息安全公司从事保安工作

C、在公开场合宣讲安全知识

D、在学校讲解信息安全课程

3. 确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，不为其

所用，是指：

A、完整性

B、可用性

C、保密性

D、抗抵赖性

4. 下列信息系统安全说法正确的是：

A．加固所有的服务器和网络设备就可以保证网络的安全

B．只要资金允许就可以实现绝对的安全

C．断开所有的服务可以保证信息系统的安全

D．信息系统安全状态会随着业务系统的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略

5. OSI 开放系统互联安全体系架构中的安全服务分为鉴别服务、访问控制、机密性服务、

完整性服务、抗抵赖服务，其中机密性服务描述正确的是？

A.包括原发方抗抵赖和接受方抗抵赖

B.包括连接机密性、无连接机密性、选择字段机密性和业务流保密

C.包括对等实体鉴别和数据源鉴别

D.包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整

性、无连接完整性和选择字段无连接完整性

页码：1

6. “进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的

目的。其中，“看不懂”是指下面那种安全服务：

A．数据加密

B．身份认证

C．数据完整性

D．访问控制

7. 电子商务交易必须具备抗抵赖性，目的在于防止。

A．一个实体假装成另一个实体

B．参与此交易的一方否认曾经发生过此次交易

C．他人对数据进行非授权的修改、破坏

D．信息从被监视的通信过程中泄漏出去

8. 下列对于 CC 的“评估保证级”（EAL）的说法最准确的是：

A.代表着不同的访问控制强度

B.描述了对抗安全威胁的能力级别

C. 是信息技术产品或信息技术系统对安全行为和安全功能的不同要求

D. 由一系列保证组件构成的包，可以代表预先定义的保证尺度答

9. 下列哪一项准确地描述了可信计算基（TCB）？

A．TCB只作用于固件（Firmware）

B．TCB描述了一个系统提供的安全级别

C．TCB描述了一个系统内部的保护机制

D．TCB通过安全标签来表示数据的敏感性

10.下面关于访问控制模型的说法不正确的是：

A. DAC模型中主体对它所属的对象和运行的程序拥有全部的控制权。

B. DAC实现提供了一个基于“need-to-know”的访问授权的方法，默认拒绝任何人的

访问。访问许可必须被显式地赋予访问者。

C．在MAC这种模型里，管理员管理访问控制。管理员制定策略，策略定义了哪个

主体能访问哪个对象。但用户可以改变它。

D．RBAC模型中管理员定义一系列角色（roles）并把它们赋予主体。系统进程和

普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以

访问它。

页码：2

11.安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型

中的“简单安全规则”？

A．Biba模型中的不允许向上写

B．Biba模型中的不允许向下读

C．Bell-LaPadula模型中的不允许向下写

D．Bell-LaPadula模型中的不允许向上读

12.下列关于访问控制模型说法不准确的是？

A.访问控制模型主要有 3种：自主访问控制、强制访问控制和基于角色的访问控制。

B.自主访问控制模型允许主体显式地指定其他主体对该主体所拥有的信息资源是否可

以访问。

C.基于角色的访问控制 RBAC中“角色”通常是根据行政级别来定义的。

D.强制访问控制MAC是“强加”给访问主体的，即系统强制主体服从访问控制政

策。

13.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能

通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？

A．Bell-LaPadula模型

B．Biba模型

C．信息流模型

D．Clark-Wilson模型

14.下列哪一项关于 Bell-LaPadula 模型特点的描述是错误的？

A. 强调对信息保密性的保护，受到对信息保密要求较高的军政机关和企业的喜爱。

B. 既定义了主体对客体的访问，也说明了主体对主体的访问。因此，它适用于网络系

统。

C. 它是一种强制访问控制模型，与自主访问控制模型相比具有强耦合，集中式授权的

特点。

D. 比起那些较新的模型而言，Bell-LaPadula定义的公理很简单，更易于理解，与所

使用的实际系统具有直观的联系。

15.下列对于基于角色的访问控制模型的说法错误的是？

A. 它将若干特定的用户集合与权限联系在一起

B. 角色一般可以按照部门、岗位、工种等与实际业务紧密相关的类别来划分

C. 因为角色的变动往往远远低于个体的变动，所以基于角色的访问控制维护起来比较

便利

D. 对于数据库系统的适应性不强，是其在实际使用中的主要弱点