CISP官方信息安全技术章节练习一

cisp试题及答案一、选择题1. CISP（注册信息安全专业人员）认证的主要目标是（）。

A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 所有以上选项答案：D2. 在信息安全领域中，以下哪项不属于常见的安全威胁类型？（）。

A. 恶意软件B. 自然灾害C. 未经授权访问D. 拒绝服务攻击答案：B3. 风险评估的目的是（）。

A. 评估组织的财务状况B. 确定信息资产的价值C. 识别和评估潜在的安全风险D. 增加市场份额答案：C4. 以下哪项是信息安全管理的最佳实践？（）。

A. 仅依赖技术解决方案B. 忽略员工的安全意识培训C. 定期进行安全审计和评估D. 仅在发生安全事件后才采取行动答案：C5. CISP认证考试中，关于数据保密性的正确理解是（）。

A. 确保数据只能被授权用户访问B. 确保数据的完整性C. 确保数据的可用性D. 确保数据的不可否认性答案：A二、填空题1. CISP认证是由________（组织名称）颁发的，旨在证明持有者在信息安全领域具有专业知识和技能。

答案：国际信息系统安全认证联盟（ISC）²2. 在信息安全中，________是一种通过隐藏信息内容来保护数据不被未授权者理解的方法。

答案：加密3. 为了防止网络攻击，组织应该实施________策略，以确保所有用户和设备都符合安全标准。

答案：安全访问控制4. 信息安全事件响应计划的主要目的是________，减少安全事件对组织的影响。

答案：快速识别和响应安全事件5. 社会工程攻击利用的是人的________，通过欺骗手段获取敏感信息或访问权限。

答案：心理弱点三、简答题1. 描述信息安全管理的三个关键组成部分。

答：信息安全管理的三个关键组成部分包括策略制定，即制定明确的安全目标和规则；实施控制措施，包括技术和程序控制以降低风险；以及持续监控和审计，确保安全措施的有效性并进行必要的调整。

2. 解释什么是渗透测试以及它在信息安全中的作用。

1、如果接收机和发送机不在一个局域网，则数据要经过下面哪一个设备进行一次或多次转发（）A、路由器B、交换机C、集线器D、防火墙答案：A2、信息系统安全主要从几个方面进行评估？A、1个（技术）B、2个（技术、管理）C、3个（技术、管理、工程）D、4个（技术、管理、工程、应用）答案：C3、对称密码算法与非对称密码算法相比，具有的特点是（）A、加密密钥与解密秘钥不同B、加密速度快C、密钥管理简单D、可以用于数字签名答案：B4、在应急响应的六阶段方法的遏制阶段，若遇到异常，用户所做的工作应遵循的行为规范是（）A、应尽快关闭系统或断开网络B、应修改系统或应用软件达到抑制目的C、监控并记录可以的现象，直到处理该类安全事件的人员到达D、按照应急响应策略向系统所有者报告任何可疑的现象答案：C5、对信息安全保障的理解不正确的是（）A、信息安全保障应综合技术、管理和人B、购买性能良好的信息安全产品、培训高素质的信息安全技术人员就能保障信息系统的安全C、社会各方的积极参与是信息安全保障所必需的D、应该在信息系统生命周期的全过程都进行信息安全保障答案：B6、关于信息系统安全保障工程实施通用模型的说法，不正确的是（）A、系统生命周期包括5个阶段B、系统生命周期立项阶段的退出准则为信息系统的整体规划完成C、信息系统安全保障工程实施框架描述了信息系统安全工程应用于系统生命周期的具体工程实践流程D、信息系统安全工程由六个过程组成答案：B7、常见的网络信息系统不安全因素包括（）A、网络因素B、应用因素C、管理因素D、以上皆是答案：D8、SSL提供哪些协议上的数据安全：A、HTTP,FTP和TCP/IPB、SKIP,SNMP和IPC、UDP,VPN和SONETD、PPTP,DMI和RC4答案：A9、以下哪一项是伪装成有用程序的恶意软件？A、计算机病毒B、特洛伊木马C、逻辑炸弹D、蠕虫程序答案：B10、操作应用系统由于错误发生故障下列哪个控制是最没有用的？A、错误统计B、日志C、检查点控制D、回复记录答案：A11、在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性以下哪一层提供了抗抵赖性？A、表示层B、应用层C、传输层D、数据链路层答案：B12、Intranet没有使用以下哪一项？A、Java编程语言B、TCP/IP协议C、公众网络D、电子邮件答案：C13、下列关于计算机病毒说法错误的是（）A、有些病毒仅能攻击某一种操作系统，如winD.owsB、病毒一般附着在其他应用程序之后C、每种病毒都会给用户造成严重后果D、有些病毒能损坏计算机硬件答案：C14、关于系统安全工程能力成熟模型（SSE-CMM）的说法，不正确的是（）A、对安全服务提供商来说，SSE-CMM中包含的很多安全过程实施元素有助于理解客户的安全需求B、SSE-CMM覆盖整个工程的生命周期、整个组织机构、并与其它规范并行的相互作用，以及其它机构发生相互作用C、SSE-CMM将安全工程划分三个基本的过程：风险、工程、保证D、SSE-CMM主要用于指导系统安全工程的完善和改进，使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的、可度量的学科答案：A15、计算机病毒会对下列计算机服务造成威胁，除了：A、完整性B、有效性C、保密性D、可用性答案：C16、“可信计算基（TCB）”不包括：A、执行安全策略的所有硬件B、执行安全策略的软件C、执行安全策略的程序组件D、执行安全策略的人答案：D17、下面哪种方法产生的密码是最难记忆的？A、将用户的生日倒转或是重排B、将用户的年薪倒转或是重排C、将用户配偶的名字倒转或是重排D、用户随机给出的字母答案：D18、以下哪一项计算机安全程序的组成部分是其他组成部分的基础？A、制度和措施B、漏洞分析C、意外事故处理计划D、采购计划答案：A19、关于信息安全风险评估工作的一些说法，不正确的是（）A、按“严密组织、规范操作、讲究科学、注重实效”的原则展开B、应按照“谁主管谁负责。

CISP考试(习题卷1)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]制定应急响应策略主要需要考虑A)系统恢复能力等级划分B)系统恢复资源的要求C)费用考虑D)人员考虑答案:D解析:2.[单选题]信息安全风险评估师信息安全风险管理工作中的重要环节。

在《关于开展信息安全 风险评估工作的意见》（国信办[2006]5 号）中，指出了风险评估分为自评估和检 查评估两种形式，并对两种工作形式提出了有关工作原则和要求。

下面选项中描述 错误的是？A)自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行 的风险评估B)检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的 风险评估C)信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补 充D)自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个， 并坚持使用答案:D解析:3.[单选题]区别脆弱性评估和渗透测试是脆弱性评估A)检查基础设施并探测脆弱性，然而穿透性测试目的在于通过脆弱性检测其可能带来的损失B)和渗透测试为不同的名称但是同一活动C)是通过自动化工具执行，而渗透测试是一种完全的手动过程D)是通过商业工具执行，而渗透测试是执行公共进程答案:A解析:4.[单选题]某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址，但是该网 络内有 15 台个人计算机，这些个人计算机不会同时开机并连接互联网。

为解决公司员 工的上网问题，公司决定将这 10 个互联网地址集中起来使用，当任意一台个人计算机 开机并连接网络时，管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给 这个人的计算机。

他关机时，管理中心将该地为收回，并重新设置为未分配。

可见，只 要同时打开的个人计算机数量少于或等于可供分配的 IP 地址，那么，每台个人计算机 可以获取一个 IP 地址，并实现与互联网的连接。

CISP信息安全技术章节练习一一、单选题。

(共100题,共100分,每题1分)1. 安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?a、操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞b、为了方便进行数据备份，安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘c、操作系统上部署防病毒软件，以对抗病毒的威胁d、将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能最佳答案是:b2. 对于抽样而言,以下哪项是正确的?a、抽样一般运用于与不成文或无形的控制相关联的总体b、如果内部控制健全,置信系统可以取的较低c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样d、变量抽样是估计给定控制或相关控制集合发生率的技术最佳答案是:b3. 以下关于账户策略中密码策略中各项作用说明，哪个是错误的：a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令b、“密码长度最小值”是强制用户使用一定长度以上的密码c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换最佳答案是:c4.如图所示，主体S对客体01有读（R）权限，对客体O2有读（R）、写（W）、拥有（Own）权限。

该图所表示的访问控制实现方法是：a、访问控制表（ACL)b、访问控制矩阵c、能力表（CL）d、前缀表（Profiles）最佳答案是:c5. 关于数据库恢复技术，下列说法不正确的是：a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复b、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术c、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复d、计算机系统发生故障导致数据未储存到固定存储器上，利用日志文件中故障发生的数据值，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交最佳答案是:d6. 以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager）的说法哪个是正确的：a、存储在注册中的账号数据是管理员组用户都可以访问，具有较高的安全性b、存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性c、存续在册表中的账号数据任何用户都可以直接访问，灵活方便d、存储在注册表中的账号数据有只有System账户才能访问，具有较高的安全性最佳答案是:d7. 以下关于安全套接层（Security Sockets Layer，SSL)说法错误的是：a、受到SSL防护的web服务器比没有SSL的web服务器要安全b、当浏览器上的统一资源定位符（Uniform Resource Locator,URL)出现https时，说明用户正使用配置了SSL协议的Web服务器c、SSL可以看到浏览器与服务器之间的安全通道d、SSL提供了一种可靠地端到端的安全服务最佳答案是:a8. 以下哪一项不是常见威胁对应的消减措施：a、假冒攻击可以采用身份认证机制来防范b、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性c、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖d、为了防止用户提升权限，可以采用访问控制表的方式来管理权限最佳答案是:c9. 某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时如果用户名或口令输入错误，给用户返回“用户名或口令输入错误”信息，输入错误达到三次，将暂时禁止登录该账户，请问以上安全设计遵循的是哪项安全设计原则：a、最少共享机制原则b、经济机制原则c、不信任原则d、默认故障处理保护原则最佳答案是:c10. 某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%，尽管网站没有发现任何的性能下降或其他问题，但为了安全起见，他仍然向主管领导提出了应对措施，作为主管负责人，请选择有效的针对此问题的应对措施：a、在防火墙上设置策略，阻止所有的ICMP流量进入（关掉ping）b、删除服务器上的ping.exe程序c、增加带宽以应对可能的拒绝服务攻击d、增加网站服务器以应对即将来临的拒绝服务攻击最佳答案是:a11. 由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置账户锁定策略以对抗口令暴力破解。

CISP试题及答案预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人【答案】 D4. 企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是A. 不需要全体员工的参入，只要ＩＴ部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行【答案】 A5. 信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的，应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行，周而复始，发现问题，分析问题，然后是解决问题B. 大环套小环，安全目标的达成都是分解成多个小目标，一层层地解决问题C.阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段？A. 管理评估，技术评估，操作流程评估B. 确定范围和安全方针，风险评估，风险控制（文件编写），体系运行，认证C.产品方案需求分析，解决方案提供，实施解决方案D. 基础培训，RA培训，文件编写培训，内部审核培训【答案】 B9. 构成风险的关键因素有哪些？A. 人，财，物B. 技术，管理和操作C.资产，威胁和弱点D. 资产，可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产？A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素？BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题？A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则？A. 只识别与业务及信息系统有关的信息资产，分类识别B.所有公司资产都要识别C. 可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是？A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡；B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡；C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡；D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡；【答案】 C15. 对于信息安全风险的描述不正确的是？A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理（Risk Management）就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程。

CISP模拟练习题350道(带答案)- - 1 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------中国信息安全测评中心CISP认证模拟试题中电运行信息安全网络技术测评中心编辑- - 2 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------1.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？A．提高信息技术产品的国产化率B．保证信息安全资金投入C．加快信息安全人才培养D．重视信息安全应急处理工作2.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点？A．强调信息系统安全保障持续发展的动态性，即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程B．强调信息系统安全保障的概念，通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标C．以安全概念和关系为基础，将安全威胁和风险控制措施作为信息系统安全保障的基础和核心D．通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征3.以下关于信息系统安全保障是主观和客观的结合说法最准确的是：A．信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全B．通过技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C．是一种通过客观证据向信息系统评估者提供主观信心的活动D．是主观和客观综合评估的结果4.与PDR模型相比，P2DR模型多了哪一个环节？A．防护B．检测C．反应D．策略5.在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于_______。

1•根据相关标准，信息安全风险管理可以分为背景建立、风险评估，风险处理，批准监督、监控审查和沟通咨询等阶段。

模拟该流程。

文档《风险分析报告》应属于哪个阶段的输出成果（）。

A风险评估B风险处理C批准监督D监控审查2.<p>某单位在实施信息安全风险评估后，形成了若干文档，下面（）中的文档不应属于风险评估&dquo;准备&rdquo;阶段输出的文档。

</p>A《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容B《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等内容C《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容D《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容3•规范的实施流程和文档管理，是信息安全风险评估结果取得成果的重要基础，vspan style="line-height: 20.8px;"> 按照规范v/span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()A《风险评估方案》B《重要保护的资产清单》C《风险计算报告》D《风险程度等级列表》4.定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量，小王采用该方法来为单位机房计算火灾的风险大小，假设单位机房的总价值为200万元人民币，暴露系数(ErpomireFactor,EF )是x，年度发生率(Annualixed Rato ofOccurrence,ARO )为0.1，而小王计算的年度预期损失(Annualixed Loss Rrpectancy,ALE )值为5万元人民币。

由此x值应该是 ()5.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法，下面的描述中，错误的是() A定量风险分析是用从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量B定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析C定性风险分析过程中，往往需要凭借分析者的经验直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关D定性风险分析更具有主观性，而定量风险分析更具客观性6•某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的PTP 服务存在高风险的漏洞，随后该单位在风险处理时选择了关闭PTP服务的处理措施，请问该措施属于哪种风险处理方式（）A风险降低B风险规避C风险转移D风险接受7.残余风险是风险管理中的一个重要概念，在信息安全风险管理中，关于残余风险描述错误的是（）A残余风险是采取了安全措施后，仍然可能存在的风险，一般来说，是在综合考虑了安全成本与效益后不去控制的风险B残余风险应受到密切监理，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件C实施风险处理时，应将残余风险清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果D信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以最小的残余风险值作为风险管理效果评估指标9•某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？A:部门经理B:高级管理层C：信息资产所有者D：最终用户10.以下对信息安全风险管理理解最准确的说法是：A: 了解风险B:转移风险C: 了解风险并控制风险D: 了解风险并转移风险11.在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：A：资产及其价值、威胁、脆弱性、现有的和计划的控制措施B：资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C:完整性、可用性、机密性、不可抵赖性D:以上都不正确12.以下哪一项不是信息安全风险分析过程中所要完成的工作：A：识别用户B：识别脆弱性C：评估资产价值D:计算机安全事件发生的可能性13.王工是某单位系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产A1和资产A2 ;其中资产A1面临两个主要威胁：威胁T1和威胁T2;而资产A2面临一个主要威胁：威胁T3;威胁T1 可以利用的资产A1存在的两个脆弱性；脆弱性V1和脆弱性V2 :威胁T2可以利用资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威胁T3 可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7.根据上述条件，请问：使用相乘法时，应该为资产A1计算几个风险值（）B 3C 5D 614.A:内部计算机处理B:系统输入输出C:通讯和网络D:外部计算机处理15•《信息安全技术信息安全风险评估规范GB /T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是：A:规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。

注册信息安全专业人员考试模拟测试题(G)标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性：A.结构的开放性B.表达方式的通用性C.独立性D.实用性答案：C2.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812号），关于推动信息安全等级保护（）建设和开展()工作的通知（公信安[2010]303号）等文件，由公安部()对等级保护测评机构管理，接受测评机构的申请、考核和定期（），对不具备能力的测评机构则（）A.等级测评；测评体系；等级保护评估中心；能力验证；取消授权B.测评体系；等级保护评估中心；等级测评；能力验证；取消授权C.测评体系；等级测评；等级保护评估中心；能力验证；取消授权D.测评体系；等级保护评估中心；能力验证；等级测评；取消授权答案：C3.以下哪个现象较好的印证了信息安全特征中的动态性()A.经过数十年的发展，互联网上已经接入了数亿台各种电子设备B刚刚经过风险评估并针对风险采取处理措施后仅一周，新的系统漏洞使得信息系统面临新的风险C某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击D.某公司尽管部署了防火墙、防病毒等安全产品，但服务器中数据仍然产生了泄露答案：B4.老王是某政府信息中心主任。

以下哪项项目是符合《保守国家移密法》要求的()A.老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维修中心修理B.老王要求下属小张把中心所有计算机贴上密级标志C.老王每天晚上12点将涉密计算机连接上互联网更新杀毒软件病毒库D.老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用答案：D5.关于计算机取征描述不正确的是（）A.计算机取证是使用先进的技术和工具，按照标准规程全面的检查计算机系统以提取和保护有关计算机犯罪的相关证据的活动B.取证的目的包括通过证据，查找肇事者，通过证据推断犯罪过程，通过证据判断受害者损失程度及涉及证据提供法律支持C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品，对于电子证据取证工作主要围绕两方面进行证据的获取和证据的保护D.计算机取证的过程，可以分为准备，保护，提取，分析和提交五个步骤答案：C解释：CISP4.1版本（2018.10）教材的第156页。

1.下面关于信息安全保障的说法错误的是：A.信息安全保障的概念是与信息安全的概念同时产生的B.信息系统安全保障要素包括信息的完整性，可用性和保密性C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施各种保障要素，在系统的生命周期内确保信息的安全属性。

2.以下哪一项是数据完整性得到保护的例子？A.某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作C.某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看3.注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？A.通信安全B.计算机安全C.信息安全D.信息安全保障4.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？A.提高信息技术产品的国产化率B.保证信息安全资金注入C.加快信息安全人才培养D.重视信息安全应急处理工作5.以下关于置换密码的说法正确的是：A.明文根据密钥被不同的密文字母代替B.明文字母不变，仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作了移位6.以下关于代替密码的说法正确的是：A.明文根据密钥被不同的密文字母代替B.明文字母不变，仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作了移位7.常见密码系统包含的元素是：A.明文、密文、信道、加密算法、解密算法B.明文、摘要、信道、加密算法、解密算法C.明文、密文、密钥、加密算法、解密算法D.消息、密文、信道、加密算法、解密算法8在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于____________________A.明文B.密文C.密钥D.信道9.PKI在验证一个数字证书时需要查看_________来确认该证书是否已经作废A.ARLB.CSSC.KMSD.CRL10、一项功能可以不由认证中心CA完成？A.撤销和中止用户的证书B.产生并分布CA的公钥C.在请求实体和它的公钥间建立链接D.发放并分发用户的证书11、一项是虚拟专用网络（VPN）的安全功能？A.验证，访问控制盒密码B.隧道，防火墙和拨号C.加密，鉴别和密钥管理D.压缩，解密和密码12、为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪一项最好地描述了星或（*-）完整性原则？A.Bell-LaPadula模型中的不允许向下写B.Bell-LaPadula模型中的不允许向上读C.Biba模型中的不允许向上写D.Biba模型中的不允许向下读13、下面哪一个情景属于身份鉴别（Authentication）过程？A.用户依照系统提示输入用户名和口令B.用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改C.用户使用加密软件对自己编写的office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容D.某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中14、下列对Kerberos协议特点描述不正确的是：A.协议采用单点登录技术，无法实现分布式网络环境下的认证B.协议与授权机制相结合，支持双向的身份认证C.只要用户拿到了TGT并且该TGT没有过期，就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码D.AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全15、TACACS+协议提供了下列哪一种访问控制机制？A.强制访问控制B.自主访问控制C.分布式访问控制D.集中式访问控制16、下列对蜜网功能描述不正确的是：A.可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击B.吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来C.可以进行攻击检测和实时报警D.可以对攻击活动进行监视、检测和分析17、下列对审计系统基本组成描述正确的是：A.审计系统一般包括三个部分：日志记录、日志分析和日志处理B.审计系统一般包含两个部分：日志记录和日志处理C.审计系统一般包含两个部分：日志记录和日志分析D.审计系统一般包含三个部分：日志记录、日志分析和日志报告18、在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务？A.加密B.数字签名C.访问控制D.路由控制19、在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务？A.网络层B.表示层C会话层D.物理层20、WAPI采用的是什么加密算法？A.我国自主研发的公开密钥体制的椭圆曲线密码算法B.国际上通行的商用加密标准C.国家密码管理委员会办公室批准的流加密标准D.国际通行的哈希算法21、通常在VLAN时，以下哪一项不是VLAN的规划方法？A.基于交换机端口B.基于网络层协议C.基于MAC地址D.基于数字证书22、某个客户的网络现在可以正常访问Internet互联网，共有200台终端PC但此客户从ISP （互联网络服务提供商）里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问Internet互联网最好采取什么方法或技术：A、花更多的钱向ISP申请更多的IP地址B、在网络的出口路由器上做源NATC、在网络的出口路由器上做目的NATD、在网络出口处增加一定数量的路由器23、以下哪一个数据传输方式难以通过网络窃听获取信息？A.FTP传输文件B.TELNET进行远程管理C.URL以HTTPS开头的网页内容D.经过TACACS+认证和授权后建立的连接24、桥接或透明模式是目前比较流行的防火墙部署方式，这种方式的优点不包括：A.不需要对原有的网络配置进行修改B.性能比较高C.防火墙本身不容易受到攻击D.易于在防火墙上实现NAT25、下面哪一项是对IDS的正确描述？A、基于特征（Signature-based）的系统可以检测新的攻击类型B、基于特征（Signature-based）的系统化基于行为（behavior-based）的系统产生更多的误报C、基于行为（behavior-based）的系统维护状态数据库来与数据包和攻击相匹配D、基于行为（behavior-based）的系统比基于特征（Signature-based）的系统有更高的误报26、下列哪些选项不属于NIDS的常见技术？A.协议分析B.零拷贝C.SYN CookieD.IP碎片重组27、在UNIX系统中输入命令“IS-AL TEST”显示如下：“-rwxr-xr-x 3 root root 1024 Sep 13 11：58 test”对它的含义解释错误的是：A.这是一个文件，而不是目录B.文件的拥有者可以对这个文件进行读、写和执行的操作C.文件所属组的成员有可以读它，也可以执行它D.其它所有用户只可以执行它28、在Unix系统中，/etc/service文件记录了什么内容？A、记录一些常用的接口及其所提供的服务的对应关系B、决定inetd启动网络服务时，启动那些服务C、定义了系统缺省运行级别，系统进入新运行级别需要做什么D、包含了系统的一些启动脚本29、以下对windows账号的描述，正确的是：A、windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号，两个账号都不允许改名和删除D、windows系统默认生成administration和guest两个账号，两个账号都可以改名和删除30、以下对于Windows系统的服务描述，正确的是：A、windows服务必须是一个独立的可执行程序B、windows服务的运行不需要用户的交互登录C、windows服务都是随系统的启动而启动，无需用户进行干预D、windows服务都需要用户进行登录后，以登录用户的权限进行启动31、以下哪一项不是IIS服务器支持的访问控制过滤类型？A.网络地址访问控制B.WEB服务器许可C.NTFS许可D.异常行为过滤32、为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由3部分组成，以下哪一个不是完整性规则的内容？A.完整性约束条件B.完整性检查机制C.完整性修复机制D.违约处理机制33、数据库事务日志的用途是什么？A.事务处理B.数据恢复C.完整性约束D.保密性控制34、下列哪一项与数据库的安全有直接关系？A.访问控制的粒度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量35、下面对于cookie的说法错误的是：A、cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法36、以下哪一项是和电子邮件系统无关的？A、PEMB、PGPC、X500D、X40037、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是：A、httpd.confB、srm.confC、access.confD、inetd.conf38、Java安全模型（JSM）是在设计虚拟机（JVN）时，引入沙箱（sandbox）机制，其主要目的是：A、为服务器提供针对恶意客户端代码的保护B、为客户端程序提供针对用户输入恶意代码的保护C、为用户提供针对恶意网络移动代码的保护D、提供事件的可追查性39、恶意代码采用加密技术的目的是：A.加密技术是恶意代码自身保护的重要机制B.加密技术可以保证恶意代码不被发现C.加密技术可以保证恶意代码不被破坏D.以上都不正确40、恶意代码反跟踪技术描述正确的是：A反跟踪技术可以减少被发现的可能性B.反跟踪技术可以避免所有杀毒软件的查杀C.反跟踪技术可以避免恶意代码被消除D.以上都不是41、下列关于计算机病毒感染能力的说法不正确的是：A.能将自身代码注入到引导区B.能将自身代码注入到扇区中的文件镜像C.能将自身代码注入文本文件中并执行D.能将自身代码注入到文档或模板的宏中代码42、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时，就会产生哪种类型的漏洞？A.缓冲区溢出B.设计错误C.信息泄露D.代码注入43、完整性检查和控制的防范对象是________,防止它们进入数据库。

CISP信息安全管理章节练习一一、单选题。

(共100题,共100分,每题1分)1. 小李去参加单位组织的信息安全培训后，他把自己对信息安全管理体系（Information Security Management System, ISMS）的理解画了以下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。

a、监控和反馈ISMSb、批准和监督ISMSc、监视和评审ISMSd、沟通和资询ISMS最佳答案是:c2. 在对安全控制进行分析时，下面哪个描述是不准确的？a、对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的b、应确保选择对业务效率影响最小的安全措施c、选择好实施安全控制的时机和位置，提高安全控制的有效性d、仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应最佳答案是:b3. 以下哪一项不是信息安全管理工作必须遵循的原则？a、风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作c、由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低d、在系统正式运行后，应注重残余风险的管理，以提高快速反应能力最佳答案是:c4. 对信息安全风险评估要素理解正确的是：a、资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构b、应针对构成信息系统的每个资产做风险评价c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁最佳答案是:a5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容：a、出入的原因b、出入的时间c、出入口的位置d、是否成功进入最佳答案是:a6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项不是信息安全策略文档中必须包含的内容：a、说明信息安全对组织的重要程度b、介绍需要符合的法律法规要求c、信息安全技术产品的选型范围d、信息安全管理责任的定义最佳答案是:c7. 作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成了一定的安全风险，这时你应当怎么做？a、抱怨且无能为力b、向上级报告该情况，等待增派人手c、通过部署审计措施和定期审查来降低风险d、由于增加人力会造成新的人力成本，所以接受该风险最佳答案是:c8. 通过评估应用开发项目，而不是评估能力成熟度模型（CMM），IS审计师应该能够验证：a、可靠的产品是有保证的b、程序员的效率得到了提高c、安全需求得到了规划、设计d、预期的软件程序（或流程）得到了遵循最佳答案是:d9. 某公司正在对一台关键业务服务器进行风险评估：该服务器价值138000元，针对某个特定威胁的暴露因子（EF）是45%，该威胁的年度发生率（ARO）为每10年发生1次。

cisp试题及答案一、选择题1. CISP（注册信息安全专业人员）认证的主要目标是（）。

A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 降低企业运营成本答案：B2. 在信息安全管理中，风险评估的目的是（）。

A. 识别潜在的威胁B. 确定安全措施的成本C. 制定安全策略D. 所有以上选项答案：D3. CISP认证考试中，关于数据加密的说法正确的是（）。

A. 对称加密算法比非对称加密算法更安全B. 非对称加密算法需要两个密钥C. 哈希函数是可逆的D. 量子加密是目前最安全的加密方式答案：B4. 以下哪项不属于信息安全管理的基本原则？（）。

A. 保密性B. 完整性C. 可用性D. 可追溯性答案：D5. CISP认证考试中，关于网络安全的说法正确的是（）。

A. 防火墙可以防止所有类型的网络攻击B. VPN提供了数据传输过程中的加密C. 入侵检测系统可以防止入侵行为的发生D. 网络隔离可以完全避免网络攻击答案：B二、填空题1. CISP认证是由________（组织名称）颁发的，旨在证明持证人在信息安全领域具有专业知识和技能。

答案：（ISC）²2. 在信息安全领域中，________是一种通过隐藏信息内容来保护数据不被未授权访问的技术。

答案：加密3. 为了确保信息的完整性，通常会使用________技术来验证数据在传输或存储过程中是否被篡改。

答案：哈希函数4. 信息安全管理体系（ISMS）的国际标准是ISO/IEC 27001，它包括了一套用于________的准则和规定。

答案：管理信息安全5. 社会工程学是一种利用人的________来获取敏感信息或未授权访问系统的方法。

答案：心理和行为特点三、简答题1. 简述信息安全的重要性。

答案：信息安全对于保护个人隐私、企业商业秘密、国家安全等方面至关重要。

它可以有效防止数据泄露、网络攻击、身份盗窃等风险，确保信息的保密性、完整性和可用性。

注册信息安全专业人员资质认证考试CISP练习题（一）1.某公司准备在业务环境中部署一种新的计算机产品，下列哪一项是授权过程的最后一步？A．认证B．定级C．认可D．识别2.下列哪一项准确地描述了可信计算基（TCB）？A．TCB只作用于固件（Firmware）B．TCB描述了一个系统提供的安全级别C．TCB描述了一个系统内部的保护机制D．TCB通过安全标签来表示数据的敏感性3.下列哪一项安全机制是一个抽象机，不但确保主体拥有必要的访问权限，而且确保对客体不会有未经授权的访问以及破坏性的修改行为？A．安全核心B．可信计算基C．引用监视器D．安全域4.安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的“简单安全规则”？A．Biba模型中的不允许向上写B．Biba模型中的不允许向下读C．Bell-LaPadula模型中的不允许向下写D．Bell-LaPadula模型中的不允许向上读答案：D5.为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪一项最好地描述了星或（*-）完整性原则？A．Bell-LaPadula模型中的不允许向下写B．Bell-LaPadula模型中的不允许向上读C．Biba模型中的不允许向上写D．Biba模型中的不允许向下读6.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？A．Bell-LaPadula模型B．Biba模型C．信息流模型D．Clark-Wilson模型7.作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。

由于该公司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？A．自主访问控制（DAC）B．强制访问控制（MAC）C．基于角色访问控制（RBAC）D．最小特权（Least Privilege）8.下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？A．强制访问控制（MAC）B．集中式访问控制（Decentralized Access Control）C．分布式访问控制（Distributed Access Control）D．自主访问控制（DAC）9.下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能？A．系统认证和完整性，完整性，真实性和完整性，机密性和完整性B．用户认证和完整性，完整性，真实性和完整性，机密性C．系统认证和完整性，完整性，真实性和完整性，机密性D．系统认证和完整性，完整性和机密性，真实性和完整性，机密性10.IPSec中包括AH（认证头）和ESP（封装安全载荷）这2个主要协议，其中AH提供下列哪些功能？A．机密性与认证B．机密性与可靠性C．完整性与可靠性D．完整性与认证11.关于对称加密算法和非对称加密算法，下列哪一种说法是正确的？A．对称加密算法更快，因为使用了替换密码和置换密码B．对称加密算法更慢，因为使用了替换密码和置换密码C．非对称加密算法的密钥分发比对称加密算法更困难D．非对称加密算法不能提供认证和不可否认性12.数字签名不能提供下列哪种功能？A．机密性B．完整性C．真实性D．不可否认性13.电子邮件的机密性与真实性是通过下列哪一项实现的？A．用发送者的私钥对消息进行签名，用接收者的公钥对消息进行加密B．用发送者的公钥对消息进行签名，用接收者的私钥对消息进行加密C．用接收者的私钥对消息进行签名，用发送者的公钥对消息进行加密D．用接收者的公钥对消息进行签名，用发送者的私钥对消息进行加密14.下列哪一项不属于公钥基础设施（PKI）的组件？A．CRLB．RAC．KDCD．CA15.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于那一种攻击？A．重放攻击B．Smurf攻击C．字典攻击D．中间人攻击16.一个典型的公钥基础设施（PKI）的处理流程是下列选项中的哪一个？（1）接收者解密并获取会话密钥（2）发送者请求接收者的公钥（3）公钥从公钥目录中被发送出去（4）发送者发送一个由接收者的公钥加密过的会话密钥A．4，3，2，1B．2，1，3，4C．2，3，4，1D．2，4，3，117.下列哪一项最好地描述了SSL连接机制？A．客户端创建一个会话密钥并用一个公钥来加密这个会话密钥B．客户端创建一个会话密钥并用一个私钥来加密这个会话密钥C．服务器创建一个会话密钥并用一个公钥来加密这个会话密钥D．服务器创建一个会话密钥并用一个私钥来加密这个会话密钥18.一名攻击者试图通过暴力攻击来获取下列哪一项信息？A．加密密钥B．加密算法C．公钥D．密文答案：A19.不同类型的加密算法使用不同类型的数学方法，数学方法越复杂，计算所需要的资源就越高。

C I S P试题及答案多题版集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-1.以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2.以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3.以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人【答案】D4.企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是A.不需要全体员工的参入，只要ＩＴ部门的人员参入即可B.来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行【答案】A5.信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是A.ISMS是一个遵循PDCA模式的动态发展的体系B.ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D.ISMS应该是一步到位的，应该解决所有的信息安全问题【答案】D6.PDCA特征的描述不正确的是A.顺序进行，周而复始，发现问题，分析问题，然后是解决问题B.大环套小环，安全目标的达成都是分解成多个小目标，一层层地解决问题C.阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足D.信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7.以下哪个不是信息安全项目的需求来源A.国家和地方政府法律法规与合同的要求B.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志【答案】D8.ISO27001认证项目一般有哪几个阶段？A.管理评估，技术评估，操作流程评估B.确定范围和安全方针，风险评估，风险控制（文件编写），体系运行，认证C.产品方案需求分析，解决方案提供，实施解决方案D.基础培训，RA培训，文件编写培训，内部审核培训【答案】B9.构成风险的关键因素有哪些？A.人，财，物B.技术，管理和操作C.资产，威胁和弱点D.资产，可能性和严重性【答案】C10.以下哪些不是应该识别的信息资产？A.网络设备B.客户资料C.办公桌椅D.系统管理员【答案】C11.以下哪些是可能存在的威胁因素？BA.设备老化故障B.病毒和蠕虫C.系统设计缺陷D.保安工作不得力【答案】B12.以下哪些不是可能存在的弱点问题？A.保安工作不得力B.应用系统存在BugC.内部人员故意泄密D.物理隔离不足【答案】C13.风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则？A.只识别与业务及信息系统有关的信息资产，分类识别B.所有公司资产都要识别C.可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产D.资产识别务必明确责任人、保管者和用户【答案】B14.风险分析的目的是？A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡；B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡；C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡；D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡；【答案】C15.对于信息安全风险的描述不正确的是？A.企业信息安全风险管理就是要做到零风险B.在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理（RiskManagement）就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程。

1.下面关于信息安全保障的说法正确的是:A.信息安全保障的概念是与信息安全的概念同时产生的B.信息系统安全保障要素包括信息的完整性、可用性和保密性C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施在系统的生命周期内确保信息的安全属性2.根据《GB/T20274信息安全保障评估框架》,对信息系统安全保障能力进行评估应A.信息安全管理和信息安全技术2个方面进行B.信息安全管理、信息安全技术和信息安全工程3个方面进行C.信息安全管理、信息安全技术、信息安全工程和人员4个方面进行D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进行3.哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征4.对于信息安全发展历史描述正确的是:A.信息安全的概念是随着计算机技术的广泛应用而诞生的B.目前信息安全己经发展到计算机安全的阶段C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人员同样是促进系统安全性的重要因素D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”,再到“信息安全”,直至现在的“信息安全保障”5.ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务A.加密B.数字签名C.访问控制D.路由控制6.表示层7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性A.ITSECB.TCSECC.GB/T9387.2D.彩虹系列的橙皮书8.下面对于CC的“保护轮廓”(PP)的说法最准确的是:A.对系统防护强度的描述B.对评估对象系统进行规范化的描述C.对一类TOE的安全需求,进行与技术实现无关的描述D.由一系列保证组件构成的包,可以代表预先定义的保证尺度9.以下哪一项属于动态的强制访问控制模型?A.Bell一Lapudufa模型B.10.C.Strong star property处于D.Bell一Lapadula模型的访问规则主要是出于对保密性的保护而制定的11.下面对于强制访问控制的说法错误的是?A它可以用来实现完整性保护,也可以用来实现机密性保护B在强制访问控制的系统中,用户只能定义客体的安全属性C它在军方和政府等安全要求很高的地方应用较多D它的缺点是使用中的便利性比较低12.以下哪两个安全模型分别是多级完整性模型和多边保密模型?A.Biba模型和Bell一Lapadula模型B.Bell一Lapaduia模型和Biba模型C.Chinese Wall模型和Bell一Lapadula模型D.Biba模型和Chinese Wall模型13.在一个使用Chinese Wall模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个兴趣冲突域中,那么可以确定一个新注册的用户:A.只有访问了W之后,才可以访问XB.只有访问了W之后,才可以访问Y和Z中的一个C.无论是否访问W,都只能访问Y和Z中的一个D.无论是否访问W,都不能访问Y或Z14.BMA访问控制模型是基于A.健康服务网络B.ARPANETC.ISPD.INTERNET15.16.证书持有者的公钥证书颁发机构的签名证书有效期17.下面关于密码算法的说法错误的是?A.分组密码又称作块加密B.流密码又称作序列密码C.DES算法采用的是流密码D.序列密码每次加密一位或一个字节的明文18.下面对于SSH的说法错误的是?A.SSH是Secure Shell的简称B.客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证C.通常Linux操作系统会在/usr/local目录下默认安装OpenSSHD.SSH2比SSH1更安全19.下面对于标识和鉴别的解释最准确的是:A.标识用于区别不同的用户,而鉴别用于验证用户身份的真实性B.标识用于区别不同的用户,而鉴别用于赋予用户权限C.标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性D.标识用于保证用户信息的完整性,而鉴别用于赋予用户权限20.指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:A.你是什么B.你有什么C.你知道什么D.你做了什么21.安全审计是对系统活动和记录的独立检查和验证,以下哪一项不是审计系统的A.辅助辨识和分析未经授权的活动或攻击B.对与己建立的安全策略的一致性进行核查C.及时阻断违反安全策略的访问D.帮助发现需要改进的安全控制措施22.下面哪一项不是通用IDS模型的组成部分:A.传感器B.过滤器23.24.以下哪一项属于物理安全方面的管理控制措施?A.照明B.护柱C.培训D.建筑设施的材料25.以下哪种不是火灾探测器类型:A.电离型烟传感器B.光电传感器C.声学震动探测系统D.温度传感器26.以下关于事故的征兆和预兆说法不正确的是:A.预兆是事故可能在将来出现的标志B.征兆是事故可能己经发生或正在发生的标志C.预兆和征兆的来源包括网络和主机IDS、防病毒软件、系统和网络日志D.所有事故的预兆和征兆都是可以发现的27.组织机构应根据事故类型建立揭制策略,需要考虑以下几个因素,除了:A、实施策略需要的时间和资源B、攻击者的动机C、服务可用性D、证据保留的时间28、下面安全套接字层协议(SSL)的说法错误的是?A、它是一种基于Web应用的安全协议B、由于SSL是内嵌的浏览器中的,无需安全客户端软件,所以相对于IPSEC更简C、SSL与IPSec一样都工作在网络层D、SSL可以提供身份认证、加密和完整性校验的功能29、用来为网络中的主机自动分配IP地址、子网掩码、默认网关、wins服务器地址的网?A、ARPB、IGMPC、ICMPD、DHCP301下面哪一项不是VPN协议标准:A、L2TPB、ipsecC、TACACS+D、PPTP30、IPSEC的两种使用模式分别是_______和_____A传输模式、安全壳模式B传输模式、隧道模式C隧道模式、ESP模式D安全壳模式、AH模式31、组成IPSEC的主要安全协议不包括以下哪一项:A、ESPB、DSSC、IKED、AH32、在UNIX系统中输入命令“LS-al test”显示如下;-rwxr-xr-x3root root1024Sep1311:58test”对他的含义解释错误的是:A、这是一个文件,而不是目录B、文件的拥有者可以对这个文件读、写和执行的操作C、文件所属组的成员有可以读它,也可以执行它D、其他所有用户只可以执行它33、计算机具有的IP地址是有限的,但通常计算机会开启多项服务或运行多个应用程序,那么如何在网络通信中对这些程序或服务进行单独标识?A分配网络端口号(如ftp服务对应21端口)B利用MAC地址C使用子网掩码D利用PKI/CA34、Apache Web服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:A httpd.confB srm.confC inetd.confD access.conf35、下面哪一项是操作系统中可信通路(trust path)机制的实例?A Window系统中ALT+CTRL+DELB root在Linux系统上具有绝对的权限C以root身份作任何事情都要谨慎D控制root用户的登录可以在/etc/security目录下的access.conf文件中进行设置36、以下对Windows服务的说法错误的是()A为了提升系统的安全性管理员应尽量关闭不需要的服务B Windows服务只有在用户成功登录系统后才能运行C可以作为独立的进程运行或以DLL的形式依附在Svchost.exeD windows服务通常是以管理员的身份运行的37、以下哪一项不是IIS服务器支持的访问控制过滤类型?A网络地址访问控制B web服务器许可C NTFS许可D异常行为过滤38、下列哪一项与数据库的安全有直接关系?A访问控制的粒度B数据库的大小C关系表中属性的数量D关系表中元组的数量39、下列哪一组Oracle数据库的默认用户名和默认口令?A用户名:“Scott”;口令:“tiger”B用户名:“Sa”;口令:“nullr”C用户名:“root”;口令:“null”D用户名:“admin”;口令:“null”40、关于数据库安全的说法错误的是?A数据库系统的安全性很大程度上依赖于DBMS的安全机制B许多数据库系统在操作系统一下文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件C为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段D数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护42、下面关于计算机恶意代码发展趋势的说法错误的是:A木马和病毒盗窃日益猖獗B利用病毒犯罪的组织性和趋利性增加C综合利用多种编程新技术、对抗性不断增加D复合型病毒减少,而自我保护功能增加43、关于网页中的恶意代码,下列说法错误的是:A网页中的恶意代码只能通过IE浏览器发挥作用B网页中恶意代码可以修改系统注册表C网页中的恶意代码可以修改系统文件D网页中的恶意代码可以窃取用户的机密性文件44、下面对于“电子邮件炸弹”的解释最准确的是:A邮件正文中包含的恶意网站链接B邮件附件中具有强破坏性的病毒C社会工程的一种方式,具有恐吓内容的邮件D在短时间内发送大量邮件软件,可以造成目标邮箱爆满45、以下哪一项是常见Web站点脆弱性扫描工具:A SnifferB NmapC AppscanD LC46、下面哪一项不是安全编程的原则A尽可能使用高级语言进行编程B尽可能让程序只实现需要的功能C不要信任用户输入的数据D尽可能考虑到意外的情况,并设计妥善的处理方法47、黑客进行攻击的最后一个步骤是:A侦查与信息收集B漏洞分析与目标选定C获取系统权限D打扫战场、清楚证据48、下面哪一项是缓冲溢出的危害?A可能导致shellcode的执行而非法获取权限,破坏系统的保密性B执行shellcode后可能进行非法控制,破坏系统的完整性C可能导致拒绝服务攻击,破坏系统的可用性D以上都是49、以下哪一项是DOS攻击的一个实例A SQL注入B IP SpoofC Smurf攻击D字典破解50、以下对于蠕虫病毒的错误说法是()A通常蠕虫的传播无需用户的操作B蠕虫病毒的主要危害体现在对数据保密的破坏C蠕虫的工作原理与病毒相似,除了没有感染文件D是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统51、以下哪一项不是跨站脚本攻击?A给网站挂马B盗取COOKIEC伪造页面信息D暴力破解密码52.对能力成熟度模型解释最准确的是?A.它认为组织的能力依赖与严格定义,管理完善,可测可控的有效业务过程。

CISP信息安全保障章节练习一一、单选题。

(共40题,共100分,每题2.5分)1. 我国信息安全保障工作先后经历了启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是：a、2001年，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动b、2003年7月，国家信息化领导小组制定出台了《关于加强信息信息安全保障工作的意见》（中办发27号文件），明确了“积极防御、综合防范”的国家信息安全保障工作方针c、2003年，中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段d、在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展最佳答案是:c2. 以下哪一项不是我国信息安全保障工作的主要目标：a、保障和促进信息化发展b、维护企业与公民的合法权益c、构建高效的信息传播渠道d、保护互联网知识产权最佳答案是:c3. 虚拟专用网（VPN）提供以下哪一种功能？a、对网络嗅探器隐藏信息b、强制实施安全政策c、检测到网络错误和用户对网络资源的滥用d、制定访问规则最佳答案是:a4. 为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（）a、信息安全需求是安全方案设计和安全措施实施的依据b、信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求c、信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到d、信息安全需求来自于该公众服务信息系统的功能设计方案最佳答案是:d5. 我国党和政府一直重视信息安全工作，我国信息安全保障工作也取得了明显成效，关于我国信息安全实践工作，下面说法错误的是（）a、加强信息安全标准化建设，成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术，管理等方面的标准。

CISP信息安全工程章节练习一一、单选题。

（共33题，共100分，每题3.0303030303分）1.如果你作为甲方负责监督一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：a、变更的流程是否符合预先的规定b、变更是否会对项目进度造成拖延c、变更的原因和造成的影响d、变更后是否进行了准确的记录最佳答案是:c2.以下哪项是对系统工程过程屮“概念与需求定义”阶段的信息安全工作的正确描述？a、应基于法律法规和用户盂求，进行盂求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑b、应充分调研信息安全技术发展情况和信息安全产品市场，选择授先进的安全解决方案和技术产品c、应在将倍息安全作为实施和开发人员的一项重要工作内容，捉出安全开发的规范并切实落实d、应详细规定系统验收测试屮有关系统安全性测试的内容最佳答案是:a3.在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它嫩感信息的实际生产系统屮的数据，如果需要使用时，以下哪一项不是必须做的：a、测试系统应使用不低于生产系统的访问控制扌岀施b、为测试系统小的数据部署完善的备份少恢复措施c、在测试完成后立即清除测试系统中的所有敏感数据d、部署审计措施，记录生产数据的拷贝和使用最佳答案是:b4.以下关于信息安全工程说法正确的是：a、信息化建设中系统功能的实现是最重要的b、信息化建设可以先实丿施系统，然后对系统进行安全加固c、信息化建设在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设d＞信息化建设没有必要涉及信息安全建设最佳答案是:c5.信息安全工程监理模型不包括下面哪一项？a、监理咨询服务b、咨询监理支撑要素c、监理咨询阶段过程d、控制管理措施最佳答案是:a6.信息安全工程监理工程师不需要做的工作是: _______ oa、编写验收测试方案b、审核验收测试方案c、监督验收测试过程d、审核验收测试报告最佳答案是:a7.信息安全工程监理的作用不包括下而哪一项？a、弥补建设单位在技术与管理上的经验不足b、帮助承建单位攻克技术难点，顺利实施项口c、改善建设单位与承建单位之间的交流沟通d、通过监理控制积极促进项ru呆质按期完成最佳答案是:b8.一家公司在实施一套新的C/S结构的企业资源管理(CRP)系统。