最新CISP试题及答案-四套题
CISP试题与答案(515多题整理版)
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP(注册信息安全专业人员)最新练习题
1.某公司准备在业务环境中部署一种新的计算机产品,下列哪一项是授权过程的最后一步?A.认证B.定级C.认可D.识别答案:C2.下列哪一项准确地描述了可信计算基(TCB)?A.TCB只作用于固件(Firmware)B.TCB描述了一个系统提供的安全级别C.TCB描述了一个系统内部的保护机制D.TCB通过安全标签来表示数据的敏感性答案:C3.下列哪一项安全机制是一个抽象机,不但确保主体拥有必要的访问权限,而且确保对客体不会有未经授权的访问以及破坏性的修改行为?A.安全核心B.可信计算基C.引用监视器D.安全域答案:C4.安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中的“简单安全规则”?A.Biba模型中的不允许向上写B.Biba模型中的不允许向下读C.Bell-LaPadula模型中的不允许向下写D.Bell-LaPadula模型中的不允许向上读答案:D5.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下列哪一项最好地描述了星或(*-)完整性原则?A.Bell-LaPadula模型中的不允许向下写B.Bell-LaPadula模型中的不允许向上读C.Biba模型中的不允许向上写D.Biba模型中的不允许向下读答案:C6.某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分?A.Bell-LaPadula模型B.Biba模型C.信息流模型D.Clark-Wilson模型答案:D7.作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。
由于该公司的人员流动性较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?A.自主访问控制(DAC)B.强制访问控制(MAC)C.基于角色访问控制(RBAC)D.最小特权(Least Privilege)答案:C8.下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互?A.强制访问控制(MAC)B.集中式访问控制(Decentralized Access Control)C.分布式访问控制(Distributed Access Control)D.自主访问控制(DAC)答案:D9.下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能?A.系统认证和完整性,完整性,真实性和完整性,机密性和完整性B.用户认证和完整性,完整性,真实性和完整性,机密性C.系统认证和完整性,完整性,真实性和完整性,机密性D.系统认证和完整性,完整性和机密性,真实性和完整性,机密性答案:C10.IPSec中包括AH(认证头)和ESP(封装安全载荷)这2个主要协议,其中AH提供下列哪些功能?A.机密性与认证B.机密性与可靠性C.完整性与可靠性D.完整性与认证答案:D11.关于对称加密算法和非对称加密算法,下列哪一种说法是正确的?A.对称加密算法更快,因为使用了替换密码和置换密码B.对称加密算法更慢,因为使用了替换密码和置换密码C.非对称加密算法的密钥分发比对称加密算法更困难D.非对称加密算法不能提供认证和不可否认性答案:A12.数字签名不能提供下列哪种功能?A.机密性B.完整性C.真实性D.不可否认性答案:A13.电子邮件的机密性与真实性是通过下列哪一项实现的?A.用发送者的私钥对消息进行签名,用接收者的公钥对消息进行加密B.用发送者的公钥对消息进行签名,用接收者的私钥对消息进行加密C.用接收者的私钥对消息进行签名,用发送者的公钥对消息进行加密D.用接收者的公钥对消息进行签名,用发送者的私钥对消息进行加密答案:A14.下列哪一项不属于公钥基础设施(PKI)的组件?A.CRLB.RAD.CA答案:C15.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于那一种攻击?A.重放攻击B.Smurf攻击C.字典攻击D.中间人攻击答案:D16.一个典型的公钥基础设施(PKI)的处理流程是下列选项中的哪一个?(1)接收者解密并获取会话密钥(2)发送者请求接收者的公钥(3)公钥从公钥目录中被发送出去(4)发送者发送一个由接收者的公钥加密过的会话密钥A.4,3,2,1B.2,1,3,4C.2,3,4,1D.2,4,3,1答案:C17.下列哪一项最好地描述了SSL连接机制?A.客户端创建一个会话密钥并用一个公钥来加密这个会话密钥B.客户端创建一个会话密钥并用一个私钥来加密这个会话密钥C.服务器创建一个会话密钥并用一个公钥来加密这个会话密钥D.服务器创建一个会话密钥并用一个私钥来加密这个会话密钥答案:A18.一名攻击者试图通过暴力攻击来获取下列哪一项信息?A.加密密钥B.加密算法C.公钥D.密文答案:A19.不同类型的加密算法使用不同类型的数学方法,数学方法越复杂,计算所需要的资源就越高。
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 所有以上选项答案:D2. 在信息安全领域中,以下哪项不属于常见的安全威胁类型?()。
A. 恶意软件B. 自然灾害C. 未经授权访问D. 拒绝服务攻击答案:B3. 风险评估的目的是()。
A. 评估组织的财务状况B. 确定信息资产的价值C. 识别和评估潜在的安全风险D. 增加市场份额答案:C4. 以下哪项是信息安全管理的最佳实践?()。
A. 仅依赖技术解决方案B. 忽略员工的安全意识培训C. 定期进行安全审计和评估D. 仅在发生安全事件后才采取行动答案:C5. CISP认证考试中,关于数据保密性的正确理解是()。
A. 确保数据只能被授权用户访问B. 确保数据的完整性C. 确保数据的可用性D. 确保数据的不可否认性答案:A二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持有者在信息安全领域具有专业知识和技能。
答案:国际信息系统安全认证联盟(ISC)²2. 在信息安全中,________是一种通过隐藏信息内容来保护数据不被未授权者理解的方法。
答案:加密3. 为了防止网络攻击,组织应该实施________策略,以确保所有用户和设备都符合安全标准。
答案:安全访问控制4. 信息安全事件响应计划的主要目的是________,减少安全事件对组织的影响。
答案:快速识别和响应安全事件5. 社会工程攻击利用的是人的________,通过欺骗手段获取敏感信息或访问权限。
答案:心理弱点三、简答题1. 描述信息安全管理的三个关键组成部分。
答:信息安全管理的三个关键组成部分包括策略制定,即制定明确的安全目标和规则;实施控制措施,包括技术和程序控制以降低风险;以及持续监控和审计,确保安全措施的有效性并进行必要的调整。
2. 解释什么是渗透测试以及它在信息安全中的作用。
CISP试题及答案详解
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】 B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】 C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
cisp考试题
cisp考试题一、选择题1. CISP(注册信息安全专业人员)认证是由哪个组织机构颁发的?A. 国际信息系统审计与控制协会(ISACA)B. 国际信息安全认证联盟(CISSP)C. 国际标准化组织(ISO)D. 国家信息安全认证中心(NISCC)2. 在信息安全管理中,以下哪项不是ISO 27001标准的核心组成部分?A. 风险评估B. 安全策略C. 业务连续性计划D. 系统开发生命周期3. 以下关于密码学的说法,哪一项是错误的?A. 对称加密算法使用相同的密钥进行加密和解密。
B. 非对称加密算法使用不同的密钥进行加密和解密。
C. 哈希函数是可逆的。
D. 数字签名用于验证数据的完整性和来源。
4. 在网络安全中,防火墙的主要作用是什么?A. 阻止未授权的网络访问B. 加速网络通信C. 记录网络活动日志D. 以上都是5. 以下哪个协议不是用于网络层的安全协议?A. IPsecB. TLSC. SSHD. ESP二、填空题1. CISP认证的全称是__________,它旨在证明持有者在信息安全领域具有__________的知识和技能。
2. 在信息安全管理体系中,__________是一种用于识别、评估和管理风险的过程,以确保组织的信息资产得到适当的保护。
3. 密码学中的__________是指通过数学方法来保证信息的安全性,包括加密、解密和认证等过程。
4. 网络防火墙可以基于__________规则来控制数据包的传输,从而防止恶意流量进入内部网络。
5. 业务连续性计划的主要目的是在发生灾难或中断事件时,确保组织能够__________地恢复关键业务功能。
三、简答题1. 请简述信息安全管理的五大核心领域,并举例说明每个领域的关键活动。
2. 描述ISO 27001标准中的信息安全风险评估过程,并说明其重要性。
3. 阐述密码学在电子商务中的应用,并说明其如何帮助保护交易的安全性。
4. 讨论网络防火墙的局限性,并提出可能的解决方案或替代技术。
CISP试题及答案
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】 B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】 C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP相关试题及答案集
1. 人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是出于:AA. 为了更好的完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的发展D. 除了保密性,信息的完整性和可用性也引起了人们的关注2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指:CA. 对抗级B. 防护级C. 能力级D. 监管级3. 下面对信息安全特征和范畴的说法错误的是:CA. 信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题,他随着信息技术的发展普及,以及产业基础,用户认识、投入产出而发展C. 信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术系统分为:BA. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件,安全防护措施六个部分5. 关于信息安全策略的说法中,下面说法正确的是:CA. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前,无法确定信息安全策略6. 下列对于信息安全保障深度防御模型的说法错误的是:CA. 信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
CISP样题-含答案
CISP样题-含答案1.以下对信息安全问题产生的根源描述最准确的是:A. 信息安全问题是由于信息技术的不断发展造成的B. 信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C. 信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的D. 信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏2.中国信息安全测评中心对 CISP 注册信息安全专业人员有保持认证要求,在证书有效期内,应完成至少6 次完整的信息安全服务经历,以下哪项不是信息安全服务:A、为政府单位信息系统进行安全方案设计B、在信息安全公司从事保安工作C、在公开场合宣讲安全知识D、在学校讲解信息安全课程3. 确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,不为其所用,是指:A、完整性B、可用性C、保密性D、抗抵赖性4. 下列信息系统安全说法正确的是:A.加固所有的服务器和网络设备就可以保证网络的安全B.只要资金允许就可以实现绝对的安全C.断开所有的服务可以保证信息系统的安全D.信息系统安全状态会随着业务系统的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略5. OSI 开放系统互联安全体系架构中的安全服务分为鉴别服务、访问控制、机密性服务、完整性服务、抗抵赖服务,其中机密性服务描述正确的是?A.包括原发方抗抵赖和接受方抗抵赖B.包括连接机密性、无连接机密性、选择字段机密性和业务流保密C.包括对等实体鉴别和数据源鉴别D.包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性页码:16. “进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。
其中,“看不懂”是指下面那种安全服务:A.数据加密B.身份认证C.数据完整性D.访问控制7. 电子商务交易必须具备抗抵赖性,目的在于防止。
A.一个实体假装成另一个实体B.参与此交易的一方否认曾经发生过此次交易C.他人对数据进行非授权的修改、破坏D.信息从被监视的通信过程中泄漏出去8. 下列对于 CC 的“评估保证级”(EAL)的说法最准确的是:A.代表着不同的访问控制强度B.描述了对抗安全威胁的能力级别C. 是信息技术产品或信息技术系统对安全行为和安全功能的不同要求D. 由一系列保证组件构成的包,可以代表预先定义的保证尺度答9. 下列哪一项准确地描述了可信计算基(TCB)?A.TCB只作用于固件(Firmware)B.TCB描述了一个系统提供的安全级别C.TCB描述了一个系统内部的保护机制D.TCB通过安全标签来表示数据的敏感性10.下面关于访问控制模型的说法不正确的是:A. DAC模型中主体对它所属的对象和运行的程序拥有全部的控制权。
cisp试题及答案(515多题整理版)
cisp试题及答案(515多题整理版) cisp试题及答案(515多题整理版)1. 以下哪项不是CISP的组成部分?A. 信息安全政策B. 信息安全组织C. 信息安全培训D. 信息安全审计答案:D2. CISP的全称是什么?A. Certified Information Systems ProfessionalB. Certified Information Security ProfessionalC. Certified Information Systems Security ProfessionalD. Certified Information System Professional答案:B3. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 5年答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机试C. 口试D. 实操答案:B5. CISP认证的考试语言有哪些?A. 英语B. 中文C. 法语D. 所有选项答案:D6. CISP认证考试的题型是什么?A. 单选题B. 多选题C. 判断题D. 简答题答案:A7. CISP认证考试的总题数是多少?A. 100题B. 200题C. 300题D. 400题答案:C8. CISP认证考试的通过分数是多少?A. 60%B. 70%C. 80%D. 90%答案:C9. CISP认证考试的考试时间是多长?A. 1小时B. 2小时C. 3小时D. 4小时答案:C10. CISP认证考试的报名费用是多少?A. 500美元B. 700美元C. 1000美元D. 1500美元答案:B11. CISP认证考试的考试内容主要涉及哪些方面?A. 信息安全管理B. 信息安全技术C. 信息安全法律D. 所有选项答案:D12. CISP认证考试的考试内容不包括以下哪项?A. 风险评估B. 业务持续性管理C. 信息安全策略D. 数据库管理答案:D13. CISP认证考试的考试内容中,关于信息安全策略的知识点包括哪些?A. 信息安全策略的制定B. 信息安全策略的实施C. 信息安全策略的评估D. 所有选项答案:D14. CISP认证考试的考试内容中,关于风险评估的知识点包括哪些?A. 风险识别B. 风险分析C. 风险处理D. 所有选项答案:D15. CISP认证考试的考试内容中,关于业务持续性管理的知识点包括哪些?A. 业务影响分析B. 灾难恢复计划C. 应急响应计划D. 所有选项答案:D16. CISP认证考试的考试内容中,关于信息安全技术的知识点包括哪些?A. 加密技术B. 防火墙技术C. 入侵检测系统D. 所有选项答案:D17. CISP认证考试的考试内容中,关于信息安全法律的知识点包括哪些?A. 数据保护法B. 计算机犯罪法C. 知识产权法D. 所有选项答案:D18. CISP认证考试的考试内容中,关于信息安全管理的知识点包括哪些?A. 安全管理的框架B. 安全管理的过程C. 安全管理的控制D. 所有选项答案:D19. CISP认证考试的考试内容中,关于信息安全培训的知识点包括哪些?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 所有选项答案:D20. CISP认证考试的考试内容中,关于信息安全审计的知识点包括哪些?A. 审计计划B. 审计程序C. 审计报告D. 所有选项答案:D21. CISP认证考试的考试内容中,关于信息安全组织管理的知识点包括哪些?A. 组织结构B. 组织政策C. 组织文化D. 所有选项答案:D22. CISP认证考试的考试内容中,关于信息安全培训的知识点不包括以下哪项?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 培训课程设计答案:D23. CISP认证考试的考试内容中,关于信息安全审计的知识点不。
CISP真题及参考答案
答案:D。
4、美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求 时,将信息技术信息分为: A、内网和外网两个部分 B、本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C、用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分 D、可信用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安 全防护措施六个部分
答案:C。
3、关于信息保障技术框架(IATF),下列说法错误的是: A、IATF 强调深度防御,关注本地计算环境、区域边界、网络和基础设施、 支撑性基础设施等多个领域的安全保障; B、IATF 强调深度防御,即对信息系统采用多层防护,实现组织的业务安全 运作; C、IATF 强调从技术、管理和人等多个角度来保障信息系统的安全; D、IATF 强调的是以安全监测、漏洞监测和自适应填充“安全问题”为循环 来提高网络安全
答案:C。
42、 以下关于 Linux 超级权限的说明,不正确的是: A、一般情况下,为了系统安全,对于一般常规基本的应用,不需要 root 用 户来操作完成 B、普通用户可以通过 su 和 sudo 来获得系统的超级权限 C、对系统日志的管理,添加和删除用户等管理工作,必须以 root 用户登录 才能进行 D、Root 是系统的超级用户,无论会否为文件和程序的所有者都具有访问权 限
答案:B。
22、 下列对强制访问控制描述不正确的是: A、主体对客体的所有访问请求按照强制访问控制策略进行控制 B、强制访问控制中,主体和客体分配有一个安全属性 C、客体的创建者无权控制客体的访问权限 D、强制访问控制不可与自主访问控制结合使用
答案:D。
23、 以下哪些模型关注与信息安全的完整性? A、Biba 模型和 Bell-Lapadula 模型 B、Bell-Lapadula 模型和 Chinese Wall 模型 C、Biba 模型和 Clark-Wilson 模型 D、ClarK-Wilson 模型和 Chinese Wall 模型
CISP试题及答案
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C。
信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2。
以下对信息安全管理的描述错误的是A。
保密性、完整性、可用性B。
抗抵赖性、可追溯性C.真实性私密性可靠性D。
增值性【答案】 D3. 以下对信息安全管理的描述错误的是A。
信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C。
对企业员工提供必要的安全意识和技能的培训和教育D。
所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5。
信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A。
ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D。
ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6。
PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B。
大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D。
信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A。
CISP试题及标准答案-套题
CISP试题及答案-套题————————————————————————————————作者:————————————————————————————————日期:CISP培训模拟考试(二)姓名:单位:1.FTP使用哪个TCP端口?A.21 B.23 C.110 D.532.TACACS(终端访问控制器访问控制系统,AAA认证协议的一种?)使用哪个端口?A.TCP 69 B.TCP 49(TACACS+) C.UDP 69 D.UDP 493.LDAP使用哪个端口?(LDAP轻量目录访问协议,根据目录树的结构给予不同的员工组不同的权限)A.TCP 139 B.TCP 119 C.UDP 139 D.UDP 3894.FINGER服务使用哪个TCP端口?(Finger服务可用于查询用户的信息,包括网上成员的真实姓名、用户名、最近登录时间和地点等,要关闭)A.69 B.119 C.79 D.705.DNS 查询(queries)工具中的DNS服务使用哪个端口?A.UDP 53 B.TCP 23 C.UDP 23 D.TCP 536.在零传输(Zone transfers)中DNS服务使用哪个端口?A.TCP 53 B. UDP 53 C.UDP 23 D. TCP 237.哪个端口被设计用作开始一个SNMP Trap?A.TCP 161 B. UDP 161 C.UDP 162 D. TCP 1698.在C/S环境中,以下哪个是建立一个完整TCP连接的正确顺序?A.SYN,SYN/ACK,ACK B.Passive Open,Active Open,ACK,ACK C.SYN,ACK/SYN,ACK D.Active Open /Passive Open,ACK,ACK9.TCP/IP的通信过程是?A.——SYN/ACK——>,<——ACK,——SYN/ACK——>B.——SYN/ACK——>,<——SYN/ACK——,——ACK——>C.——SYN——>,<——ACK,——SYN——>,<——ACK——D.——SYN——>,<——SYN/ACK——,——ACK——>10.TCP握手中,缩写RST指的是什么?A.Reset B.Response C.Reply State D.Rest11.191.64.12.22是哪类地址?A.A类B.B类C.C类D.D类12.255.0.0.0是哪类网址的默认MASK?A.A类B.B类C.C类D.D类13.255.255.255.0是哪类网址的默认MASK?A.A类B.B类C.C类D.D类14.OSI模型中哪一层最难进行安全防护?A.网络层B.传输层C.应用层D.表示层15.Rlogin在哪个TCP端口运行?A.114 B.513 C.212 D.27116.以下哪个标准描述了典型的安全服务和OSI模型中7层的对应关系?A.ISO/IEC 7498-2B.BS 7799 C.通用评估准则D.IATF17.SSH的用户鉴别组件运行在OSI的哪一层?A.传输层B.网络层C.会话层D.物理层18.Ethernet MAC地址是多少位?A.36位B.32位C.24位D.48位19.Visa和MasterCard共同开发的用于信用卡交易的安全协议是什么?A.SSL B.SET(安全电子交易协议)C.PPTP D.三重DESSET(secure Electronic Transaction安全电子交易协议)20.互联网的管理是?A.集中式的B.半集中式的C.分布式的D.半分布式的21.互联网目前主要使用以下哪个协议?A.SNA B.DECnet C.TCP/IP D.MAP22.以下哪个是被动攻击的例子?A.通信量分析B.消息修改C.消息延迟D.消息删减23.以下哪个不属于防火墙典型的组件或者功能?A.协议过滤B.应用网关C.扩展的日志容量D.数据包路由24.挑选密码算法最重要应该考虑?A.安全和授权B.速度和专利C.速度和安全D.专利和授权25.下面关于PGP和PEM说法不对的是?A.它们都能加密消息B.它们都能签名C.它们用法一样D.都基于公钥技术26.Kerberos能够防止哪种攻击?A.隧道攻击B.重放攻击C.破坏性攻击D.过程攻击27.以下哪个与电子邮件系统没有直接关系?A.PEM B.PGP C.X.500D.X.40028.对防火墙的描述不对的是?A.防火墙能够执行安全策略B.防火墙能够产生审计日志C.防火墙能够限制组织安全状况的暴露D.防火墙能够防病毒29.下列几个OSI层中,哪一层既提供机密性服务又提供完整性服务?A.数据链路层B.物理层C.应用层?D.表示层30.下列几个OSI层中,哪一层能够提供访问控制服务?A.传输层?B.表示层C.会话层D.数据链路层31.以下哪个是可以用于连接两个或多个局域网最简单的网络装置?A.路由器B.网桥C.网关D.防火墙32.以下哪个是局域网中常见的被动威胁?A.拒绝式服务攻击B.IP欺骗C.嗅探D.消息服务的修改33.下列哪种设备是在OSI的多个层上工作的?A.网桥B.网关C.路由器D.中继器34.“如果任何一条线路坏了,那么只有连在这条线路上的终端受影响。
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 降低企业运营成本答案:B2. 在信息安全管理中,风险评估的目的是()。
A. 识别潜在的威胁B. 确定安全措施的成本C. 制定安全策略D. 所有以上选项答案:D3. CISP认证考试中,关于数据加密的说法正确的是()。
A. 对称加密算法比非对称加密算法更安全B. 非对称加密算法需要两个密钥C. 哈希函数是可逆的D. 量子加密是目前最安全的加密方式答案:B4. 以下哪项不属于信息安全管理的基本原则?()。
A. 保密性B. 完整性C. 可用性D. 可追溯性答案:D5. CISP认证考试中,关于网络安全的说法正确的是()。
A. 防火墙可以防止所有类型的网络攻击B. VPN提供了数据传输过程中的加密C. 入侵检测系统可以防止入侵行为的发生D. 网络隔离可以完全避免网络攻击答案:B二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持证人在信息安全领域具有专业知识和技能。
答案:(ISC)²2. 在信息安全领域中,________是一种通过隐藏信息内容来保护数据不被未授权访问的技术。
答案:加密3. 为了确保信息的完整性,通常会使用________技术来验证数据在传输或存储过程中是否被篡改。
答案:哈希函数4. 信息安全管理体系(ISMS)的国际标准是ISO/IEC 27001,它包括了一套用于________的准则和规定。
答案:管理信息安全5. 社会工程学是一种利用人的________来获取敏感信息或未授权访问系统的方法。
答案:心理和行为特点三、简答题1. 简述信息安全的重要性。
答案:信息安全对于保护个人隐私、企业商业秘密、国家安全等方面至关重要。
它可以有效防止数据泄露、网络攻击、身份盗窃等风险,确保信息的保密性、完整性和可用性。
最新CISP模拟考试题库及答案
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统B. 网络C. 数据库D. 应用程序系统答案:A备注:[标准和法规(TCSEC)]2.下述攻击手段中不属于DOS攻击的是: ()A. Smurf攻击B. Land攻击C. Teardrop攻击D. CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A. “普密”、“商密”两个级别B. “低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D. “一密”、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件厂商答案:B。
cisp试题及答案
cisp试题及答案CISP试题及答案一、选择题(每题1分,共10分)1. 以下哪项不是CISP的认证目标?A. 提升个人网络安全技能B. 增强组织的信息安全防护能力C. 降低网络攻击的风险D. 提高个人编程能力答案:D2. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 终身有效答案:C3. 以下哪个不是CISP考试的科目?A. 信息安全基础B. 网络安全C. 软件开发D. 风险管理答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机考C. 面试D. 现场操作答案:B5. CISP认证的考试语言是?A. 英语B. 中文C. 法语D. 德语答案:A6. 以下哪项不是CISP认证的考试内容?A. 法律、法规和合规性B. 业务连续性管理C. 网络设备配置D. 信息安全管理答案:C7. CISP认证适合哪些人员?A. IT管理人员B. 网络安全专家C. 软件开发人员D. 所有以上答案:D8. CISP认证的考试通过标准是什么?A. 60%正确率B. 70%正确率C. 80%正确率D. 100%正确率答案:B9. CISP认证的考试费用是多少?A. 1000元B. 2000元C. 3000元D. 4000元答案:C10. CISP认证的考试时长是多少?A. 1小时B. 2小时C. 3小时D. 4小时答案:C二、简答题(每题5分,共20分)1. 简述CISP认证的重要性。
答案:CISP认证对于个人而言,是专业能力的认可,有助于职业发展和技能提升。
对于组织而言,拥有CISP认证的员工可以增强组织的信息安全防护能力,降低信息安全风险。
2. 描述CISP认证的考试流程。
答案:CISP认证考试流程通常包括注册、备考、参加考试、成绩公布和认证证书的颁发。
考生需要在指定的考试中心完成机考,考试合格后,将获得认证证书。
3. 解释CISP认证的继续教育要求。
答案:CISP认证持有者需要每两年完成一定的继续教育学分,以保持认证的有效性。
CISP试题及答案多题版精编版
C I S P试题及答案多题版集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-1.以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2.以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3.以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】D4.企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A.不需要全体员工的参入,只要IT部门的人员参入即可B.来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】A5.信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A.ISMS是一个遵循PDCA模式的动态发展的体系B.ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D.ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】D6.PDCA特征的描述不正确的是A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D.信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7.以下哪个不是信息安全项目的需求来源A.国家和地方政府法律法规与合同的要求B.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志【答案】D8.ISO27001认证项目一般有哪几个阶段?A.管理评估,技术评估,操作流程评估B.确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D.基础培训,RA培训,文件编写培训,内部审核培训【答案】B9.构成风险的关键因素有哪些?A.人,财,物B.技术,管理和操作C.资产,威胁和弱点D.资产,可能性和严重性【答案】C10.以下哪些不是应该识别的信息资产?A.网络设备B.客户资料C.办公桌椅D.系统管理员【答案】C11.以下哪些是可能存在的威胁因素?BA.设备老化故障B.病毒和蠕虫C.系统设计缺陷D.保安工作不得力【答案】B12.以下哪些不是可能存在的弱点问题?A.保安工作不得力B.应用系统存在BugC.内部人员故意泄密D.物理隔离不足【答案】C13.风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A.只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C.可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D.资产识别务必明确责任人、保管者和用户【答案】B14.风险分析的目的是?A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】C15.对于信息安全风险的描述不正确的是?A.企业信息安全风险管理就是要做到零风险B.在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(RiskManagement)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
最新CISP试题及答案-四套题
最新CISP试题及答案-四套题1 信息安全发展各阶段中,下面哪一项是信息安全所面临的主要威胁A病毒B非法访问C信息泄漏D---口令2.关于信息保障技术框架IATF,下列说法错误的是A IATF强调深度防御,关注本地计算环境,区域边境,网络和基础设施,支撑性基础设施等多个领域的安全保障B IATF强调深度防御,针对信息系统采取多重防护,实现组织的业务安全运作。
C IATF强调从技术,管理和人等多个角度来保障信息系统的安全D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全3.美国国家安全局的《信息保障技术框架》IATF,在描述信息系统的安全需求时将信息系统分为A 内网和外网两个部分B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别4.下面那一项表示了信息不被非法篡改的属性A 可生存性B 完整性C 准确性D 参考完整性5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是A 信息系统安全保障不仅涉及安全技术,还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C 是一种通过客观保证向信息系统评估者提供主观信心的活动D6、一下那些不属于现代密码学研究A Enigma密码机的分析频率B --C diffie-herrman密码交换D 查分分析和线性分析7.常见密码系统包含的元素是:A. 明文、密文、信道、加密算法、解密算法B. 明文,摘要,信道,加密算法,解密算法C. 明文、密文、密钥、加密算法、解密算法D. 消息、密文、信道、加密算法、解密算法8.公钥密码的应用不包括:A. 数字签名B. 非安全信道的密钥交换C. 消息认证码D. 身份认证9.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?A. DSSB. Diffie-HellmanC. RSAD. AES10.目前对MD5,SHAI算法的攻击是指:A. 能够构造出两个不同的消息,这两个消息产生了相同的消息摘要B. 对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要C. 对于一个已知的消息摘要,能够恢复其原始消息D. 对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 信息安全发展各阶段中,下面哪一项是信息安全所面临的主要威胁A病毒B非法访问C信息泄漏D---口令2.关于信息保障技术框架IATF,下列说法错误的是A IATF强调深度防御,关注本地计算环境,区域边境,网络和基础设施,支撑性基础设施等多个领域的安全保障B IATF强调深度防御,针对信息系统采取多重防护,实现组织的业务安全运作。
C IATF强调从技术,管理和人等多个角度来保障信息系统的安全D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全3.美国国家安全局的《信息保障技术框架》IATF,在描述信息系统的安全需求时将信息系统分为A 内网和外网两个部分B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别4.下面那一项表示了信息不被非法篡改的属性A 可生存性B 完整性C 准确性D 参考完整性5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是A 信息系统安全保障不仅涉及安全技术,还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C 是一种通过客观保证向信息系统评估者提供主观信心的活动D6、一下那些不属于现代密码学研究A Enigma密码机的分析频率B --C diffie-herrman密码交换D 查分分析和线性分析7.常见密码系统包含的元素是:A. 明文、密文、信道、加密算法、解密算法B. 明文,摘要,信道,加密算法,解密算法C. 明文、密文、密钥、加密算法、解密算法D. 消息、密文、信道、加密算法、解密算法8.公钥密码的应用不包括:A. 数字签名B. 非安全信道的密钥交换C. 消息认证码D. 身份认证9.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?A. DSSB. Diffie-HellmanC. RSAD. AES10.目前对MD5,SHAI算法的攻击是指:A. 能够构造出两个不同的消息,这两个消息产生了相同的消息摘要B. 对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要C. 对于一个已知的消息摘要,能够恢复其原始消息D. 对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证。
11 下列对强制访问控制描述不正确的是A 主题对客体的所有访问B 强制访问控制时,主体和客体分配一个安全属性C 客体的创建者无权控制客体的访问权限D 强制访问控制不可与自主访问控制访客使用12一下那些模型关注与信息安全的完整性A BIBA模型和BELL-LAPADULA模型Bbell-lapadula模型和chians well模型C Biba模型和ciark-wllearD ciark-wllear模型和chians well模型13 按照BLP模型规则,以下哪种访问才能被授权A Bob的安全级是机密,文件的安全级是机密,Bob请求写该文件B Bob的安全级是机密,文件的安全级是机密,Bob请求读该文件C Alice的安全级是机密,文件的安全级是机密,Alice请求写该文件D Alice的安全级是机密,文件的安全级是机密,Alice请求读该文件14.在一个使用Chinese Wall 模型建立访问控制的消息系统中,————A. 只有访问了W之后,才可以访问XB. 只有访问了W之后,才可以访问Y和Z中的一个C. 无论是否访问W,都只能访问Y和Z中的一个D. 无论是否访问W,都不能访问Y或Z15.以下关于RBAC模型的说法正确的是:A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B.一个用户必须扮演并激活某种角色,才能对一个对象进行访问或执行某种操作C.在该模型中,每个用户只能有一个角色D.在该模型中,权限与用户关联,用户与角色关联16.以下对Kerberos 协议过程说法正确的是:A. 协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务B. 协助可以分为两个步骤:一是获得票据许可票据;二是获取请求服务C. 协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可票据D. 协议可以分为三个步骤:一是获得票据许可票据;二是获得服务许可票据;三是获得服务17.基于生物特征的鉴别系统一般使用哪个参数来判断系统的准确度?A.错误拒绝率B.错误监测率C.交叉错判率D.错误接受率18.下列对密网功能描述不正确的是:A.可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击B.吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的活动记录下来C.可以进行攻击检测和实时报警D.可以对攻击活动进行监视、检测和分析19.下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一?A.数据完整性B.数据保密性C.数字签名D.抗抵赖20.以下哪种方法不能有效保障WLN的安全性A 禁止默认的服务SSIDB 禁止SSID广播C 启用终端与AP的双面认证D 启用无线AP的—认证测试21.简单包过滤防火墙主要工作在:A. 链接层/网络层B. 网络层/传输层C. 应用层D. 回话层22.以下哪一项不是应用层防火墙的特点?A.更有效的阻止应用层攻击B.工作在OSI模型的第七层C.速度快且对用户透明D.比较容易进行审计23.下面哪一项不是IDS的主要功能?A.监控和分析用户系统活动B.统计分析异常活动模式C.对被破坏的数据进行修复D.识别活动模式以反映已知攻击24.有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的XX 来发现入侵事件,这种机制称作:A.异常检测B.特征检测C.差距分析D.比对分析25.以下关于Linux用户和组的描述不正确的是:A.在linux中,每一个文件和程序都归属于一个特定的“用户”B.系统中的每一个用户都必须至少属于一个用户组C.用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于多个组D.Root是系统的超级用户,无论是否文件和程序的所有者都且有访问权限26.以下关于linux超级权限的说明,不正确的是:A. 一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成B. 普通用户可以通过su和sudo来获取系统的超级权限C. 对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行D. Root是系统的超级用户,无论是否为文件和程序的所有者都只有访问权限27.在windows 操作系统中,欲限制用户无效登录的次数,应当怎么做?A. 在“本地安全设置”中对“密码策略”进行设置B. 在“本地安全设置”中对“账户锁定策略”进行设置C. 在“本地安全设置”中对“审核策略”进行设置D. 在“本地安全设置”中对“用户权利指派”进行设置28.以下对windows系统日志的描述错误的是:A. Windows 系统默认有三个日志,系统日志、应用程序日志、安全日志B. 系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件X 再XX 控制器的故障C. 应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接XX)XXXD 安全日志跟踪网络入侵事件,**拒绝服务攻击,口令暴力破解等。
29 为了实现数据库的完整性控制,数据库管理员向提出一组完整行规则来检查数据库中的数据,完整行规则主要有三部分组成,一下那一个不是完整性规则的内容A 完整新约束条件B 完整新检查机制C 完整新修复机制D 违约处理机制30.数据库事务日志的用途是:A.事务处理B.数据恢复C.完整性约束D.保密性控制31.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞?A.缓冲区溢出B.SQL注入C.设计错误D.跨站脚本32.通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在?A.明文形式存在B.服务器加密后的密文形式存在C.Hasn运算后的消息摘要值存在D.用户自己加密后的密文形式存在33.下列对跨站脚本攻击(XSS)的描述正确的是:A.XSS攻击指的是恶意攻击在WEB页面里插入恶意代码,当用户浏览该页面时嵌入其中WEB 页面的代码会被执行,从而达到恶意攻击用户的特殊目的B.XSS攻击是DOOS攻击的一种变种C.XSS攻击就是CC攻击D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使HS连接X超出限制,当CPU———————耗尽,那么网站也就被攻击垮了,从而达到攻击的目的。
34.下列哪种恶意代码不具备“不感染、依附性”的特点?A.后门B.*门C.木马D.蠕虫35.下列关于计算机病毒感染能力的说法不正确的是A 能将自身代码注入到引导区B 能讲自身代码注入到扇区中的文件镜像C 能将自身代码注入文本中并执行D 能将自身文件注入到文档配置版的宏文件中36.Smurf 利用下列哪种协议进行攻击?A.ICMPB.IGMPC.TCPD.UDP37.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接受者,这种情况属于哪一种攻击?A.重放攻击B.Smurt攻击C.字典攻击D.中间人攻击38.下列哪些措施不是有效的缓冲区溢出的防护措施?A.使用标准的C语言字符串库进行操作B.严格验证输入字符串长度C.过滤不合规则的字符D.使用第三方安全的字符串库操作39.下面对PDCA模型的解释不正确的是:A.通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动B.是一种可以应用于信息安全管理活动的持续改进的有效实践方法C.也被称为“戴明环”D.适用于对组织整体活动的优化,不适合单个的过程以及个人40.风险评估方法的选定在PDCA循环中的哪个阶段完成?A.实施和运行B.保持和改进C.建立D.监视和评审41.在风险管理准备阶段“建立背景”(对象建立)过程中不用设置的是:A.分析系统的体系结构B.分析系统的安全环境C.制定风险管理计划D.调查系统的技术特性42.风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程。
关于这些过程,以下的说法哪一个是正确的?A.风险分析准备的内容是识别风险的影响和可能性B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度C.风险分析的内容是识别风险的影响和可能性D.风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施43.下列哪一项准确地描述了脆弱性、威胁、影响和风险之间的关系?A.脆弱性增加了威胁,威胁利用了风险并导致了影响B.风险引起了脆弱性并导致了影响,影响又引起了威胁C.风险允许威胁利用脆弱性,并导致了影响D.威胁利用脆弱性并产生影响的可能性称为风险,影响是威胁已造成损害的实例44.管理者何时可以根据风险分析结果对已识别的风险不采取措施?A.当必须的安全对策的成本高出实际风险的可能造成的潜在费用时B.当风险减轻方法提高业务生产力时C.当引起风险发生的情况不在部门控制范围之内时D.不可接受45.以下选项中哪一项是对于信息安全风险采取的纠正机制?A.访问控制B.入侵检测C.灾难恢复D.防病毒系统46.下列对风险分析方法的描述正确的是:A.定量分析比定性分析方法使用的工具更多B.定性分析比定量分析方法使用的工具更多C.同一组织只用使用一种方法进行评估D.符合组织要求的风险评估方法就是最优方法47.下列哪种处置方法属于转移风险?A.部署综合安全审计系统B.对网络行为进行实时监控C.制订完善的制度体系D.聘用第三方专业公司提供维护外包服务48.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负责最终责任?A.部门经理B.高级管理层C.信息资产所有者D.最终用户49.以下关于“最小特权”安全管理原则理解正确的是:A.组织机构内的敏感岗位不能由一个人长期负责B.对重要的工作进行分解,分配给不同人员完成C.一个人有且仅有其执行岗位所足够的许可和权限D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限50.在《信息系统灾难恢复规范》中,根据___要素,X灾难恢复等级划分为___X.A. 7;6B. 8;7C. 7;7D. 8;651.灾难发生时,系统和数据必须恢复到的______为恢复点目标()A. 时间要求B. 时间点要求C. 数据状态D. 运行状态52.根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:A.系统级演练、业务级演练、应用级演练B.系统级演练、应用级演练、业务级演练C.业务级演练、应用级演练、系统级演练D.业务级演练、系统级演练、应用级演练53.下面对能力成熟度模型解释最准确的是:A.它认为组织的能力依赖于严格定义、管理完善、可测可控的有效业务过程B.它通过严格考察工程成果来判断工程能力C.它与统计过程控制理论的出发点不同,所以应用于不同领域D.它是随着信息安全的发展而诞生的重要概念54.下面对于SSE—CMM保证过程的说话错误的是:A.保证是指安全需求得到满足的可信任程度B.信任程度来自于对安全工程过程结果的判断C.自验证与证实安全的主要手段包括观察、论证、分析和测试D.PA“建立保证论据”为PA“验证与证实安全”提供了证据支持55.SSE—CMM工程过程区域中的风险过程包含哪些过程区域?A.评估威胁、评估脆弱性、评估影响B.评估威胁、评估脆弱行、评估安全风险C.评估威胁、评估脆弱性、评估影响、评估安全风险D.评估威胁、评估脆弱性、评估影响、验证和证实安全56.按照SSE—CMM,能力级别第三级是指:A.定量控制B.计划和跟踪C.持续改进D.充分定义57.一个组织的系统安全能力成熟度达到哪个级别以后,就可以考为过程域(PA)的实施提供充分的资源?A.2级——计划和跟踪B.3级——充分定义C.4级——量化控制D.5级——持续改进58.在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标:A.防止出现数据范围以外的值B.防止出现错误的数据处理顺序C.防止缓冲区溢出攻击D.防止代码注入攻击59 信息安全工程经理工程师不需要做的工作是A 编写响应测试方案B 审核相应测试方案C 参与响应测试过程D 审核响应测试资质60.国际标准化组织ISO下属208个技术委员会(TCs),531个分技术委员会(SCs),2378个工作组(WGs),其中负责信息安全技术标准化的组织是:A.ISO/IECB.ISO/IEC JTC 1C.ISO/IEC JTC 1/SC 27D.ISO/IEC JTC 1/SC 3761.________是目前国际通行的信息技术产品安全性评估标准?A.TCSECB.ITSECD.IATF62.以下对确定信息系统的安全保护等级理解正确的是:A.信息系统的安全保护等级是信息系统的客观属性B.确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施C.确定信息系统的安全保护等级时应考虑风险评估的结果D.确定信息系统的安全保护等级时应仅考虑业务信息的安全性63.下面哪个不是ISO 27000 系列包含的标准?A.《信息安全管理体系要求》B.《信息安全风险管理》C.《信息安全度量》D.《信息安全评估规范》64.以下哪一个关于信息安全评估的标准最先明确了保密性,完整性和可用性三项信息安全特征A ITSECB TCSECC GB/TB9387.2D 彩虹系列的橙皮书65.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,(计算机信息系统国家联网保密管理规定)是由下列哪个部门所指定的A 公安部B 国家保密局C 信息产业部D 国家密码管理委员会办公室66.下面有关我国信息安全管理体制的说法错误的是:A.目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面B.我国的信息安全保障工作综合利用法律、管理和技术的手段C.我过的信息安全管理成坚持及时检测、快速响应、综合治理的方针D.我国对于信息安全责任的原则是谁主管、谁负责、谁经营、谁负责67.以下哪一项不是我国与信息安全有关的国家法律?A.《信息安全等级保护管理方法》B.《中华人民共和国保守国家秘密法》C.《中华人民共和国刑法》D.《中华人民共和国国家安全法》68.触犯新刑法285条规定的非法侵入计算机系统罪可判处______。