2020年新编CISP整理试题及答案讲解名师精品资料
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 所有以上选项答案:D2. 在信息安全领域中,以下哪项不属于常见的安全威胁类型?()。
A. 恶意软件B. 自然灾害C. 未经授权访问D. 拒绝服务攻击答案:B3. 风险评估的目的是()。
A. 评估组织的财务状况B. 确定信息资产的价值C. 识别和评估潜在的安全风险D. 增加市场份额答案:C4. 以下哪项是信息安全管理的最佳实践?()。
A. 仅依赖技术解决方案B. 忽略员工的安全意识培训C. 定期进行安全审计和评估D. 仅在发生安全事件后才采取行动答案:C5. CISP认证考试中,关于数据保密性的正确理解是()。
A. 确保数据只能被授权用户访问B. 确保数据的完整性C. 确保数据的可用性D. 确保数据的不可否认性答案:A二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持有者在信息安全领域具有专业知识和技能。
答案:国际信息系统安全认证联盟(ISC)²2. 在信息安全中,________是一种通过隐藏信息内容来保护数据不被未授权者理解的方法。
答案:加密3. 为了防止网络攻击,组织应该实施________策略,以确保所有用户和设备都符合安全标准。
答案:安全访问控制4. 信息安全事件响应计划的主要目的是________,减少安全事件对组织的影响。
答案:快速识别和响应安全事件5. 社会工程攻击利用的是人的________,通过欺骗手段获取敏感信息或访问权限。
答案:心理弱点三、简答题1. 描述信息安全管理的三个关键组成部分。
答:信息安全管理的三个关键组成部分包括策略制定,即制定明确的安全目标和规则;实施控制措施,包括技术和程序控制以降低风险;以及持续监控和审计,确保安全措施的有效性并进行必要的调整。
2. 解释什么是渗透测试以及它在信息安全中的作用。
2020年新编cisp培训模拟题及答案名师精品资料.
CISP培训模拟考试(一)姓名:单位:1.以下哪个不是中国信息安全产品测评认证中心开展的 4 种测评认证业务之一?A .信息安全产品型式认证B.信息安全服务认证C.信息安全管理体系认证D.信息系统安全认证2.中国信息安全产品测评认证中心目前进行信息安全产品认证所采用的基础信息安全评估标准是哪一个?A.GJB 2246 B.GB/T 18336 -2001 C.GB/T 18018 -1999 D.GB 17859-19993.下面哪一个是国家推荐性标准?A.GB/T 18020-1999 应用级防火墙安全技术要求B.SJ/T 30003-93 电子计算机机房施工及验收规范C.GA 243-2000 计算机病毒防治产品评级准则D.ISO/IEC 15408-1999 信息技术安全性评估准则4.下面哪一个不属于我国通行“标准化八字原理”之一?A.“统一”原理B.“简化”原理C.“协调”原理D.“修订”原理5.标准采用中的“ idt”指的是?A.等效采用B.等同采用C.修改采用D.非等效采用6.著名的TCSEC 是由下面哪个组织制定的?A.ISOB.IECITSECD .美国国防部7.下面哪一个不属于基于OSI 七层协议的安全体系结构的5 种服务之一?A.数据完整性B.数据机密性C.公证D.抗抵赖8.TCP/IP 协议的4 层概念模型是?A.应用层、传输层、网络层和网络接口层B.应用层、传输层、网络层和物理层C.应用层、数据链路层、网络层和网络接口层D.会话层、数据链路层、网络层和网络接口层 标准主要包括哪几个部分?A.简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南;B.简介和一般模型、安全功能要求、安全保证要求C.通用评估方法、安全功能要求、安全保证要求D.简介和一般模型、安全要求、PP和ST产生指南 包括下面哪个类型的内容?A.行政性管理安全措施B.物理安全方面(诸如电磁辐射控制)C.密码算法固有质量评价D.由硬件、固件、和软件实现的信息技术安全措施11.下面对PP 的说法中哪一个不对?A.可以作为产品设计的实用方案B.可以作为一类产品或系统的安全技术要求C.表达一类产品或系统的用户需求D.组合了安全功能要求和安全保证要求 中安全功能/保证要求的三层结构是(按照由大到小的顺序)?A.类、子类、元素B.组件、子类、元素C.类、子类、组件D.子类、组件、元素 中的评估保证级(EAL )分为多少级?A. 6 级B.7 级C. 5 级D. 4 级 中的评估保证级4 级(EAL4 )对应TCSEC 和ITSEC 的哪个级别?A.对应TCSEC B1 级,对应ITSEC E4 级B.对应TCSEC C2 级,对应ITSEC E4 级C.对应TCSEC B1 级,对应ITSEC E3 级D.对应TCSEC C2 级,对应ITSEC E3 级15.PP 中的安全需求不包括下面哪一个?A.有关环境的假设B.对资产的威胁C.组织安全策略D. IT 环境安全要求16.一般的防火墙不能实现以下哪项功能? A .隔离公司网络和不可信的网络 B .防止病毒和特络依木马程序 C .隔离内网D .提供对单点的监控19.某种防火墙的缺点是没有办法从非常细微之处来分析数据包, 但它的优点是非常快,种防火墙是以下的哪一种?20.以下防火墙中最慢并且运行在 OSI 模型高层的是哪一个?A .电路级网关B .应用级网关C .会话层防火墙D .包过滤防火墙21.给计算机系统的资产分配的记号被称为什么? A .安全属性 B .安全特征 C .安全标记D .安全级别 22. ITSEC 标准是 不包括以下哪个方面的内容?A .功能要求B .通用框架要求C .保证要求D .特定系统的安全要求23.以下哪些模型可以用来保护分级信息的机密性? A .Biba 模型和 Bell - Lapadula 模型C . Bell - Lapadula 模型和 Clark - Wilson 模型 24.桔皮书主要强调了信息的哪个属性? A .完整性 B .机密性 C .可用性D .有效性 25. ITSEC 的功能要求不包括以下哪个方面的内容? A .机密性B .完整性C .可用性D .有效性 26. OSI 中哪一层不提供机密性服务?A .表示层B .传输层C .网络层27.在参考监控器的概念中,一个参考监控器 不需要 符合以下哪个设计要求?A .必须是防窜改的B .必须足够大C .必须足够小D .必须总在其中28. BLP 模型基于两种规则来保障数据的机秘度与敏感度,它们是什么?17.一台需要与互联网通信的 HTTP 服务器放在以下的哪个位置最安全?A .在 DMZ 区的内部C .和防火墙在同一台计算机上 B .在内网中D .在互联网防火墙之外18.某种技术被用来转换对外真正地址不足的问题,并隐藏内部的IP 地址与局域网络内部的虚拟 IP 地址, 可以解决合法 IP 地址,保护内部网络的安全,这种技术是什么?IPA .地址过滤B . NATC .反转D .认证A .电路级网关B .应用级网关C .会话层防火墙D .包过滤防火墙B .Bell - Lapadula 模型和信息流模型 D .Clark -Wilson 模型和信息流模型D .会话层A .下读,主体不可读安全级别高于它的数据;上写,主体不可写安全级别低于它的数据B .上读 ,主体不可读安全级别高于它的数据;下写,主体不可写安全级别低于它的数据 C .上读,主体不可读安全级别低于它的数据;下写,主体不可写安全级别高于它的数据 D .下读,主体不可读安全级别低于它的数据;上写,主体不可写安全级别高于它的数据 29.历史上第一个计算机安全评价标准是什么?A . TCSECB.ITSECC.NIST 30. BIBA 模型基于两种规则来保障数据的完整性的保密性,分别是:A .上读,主体不可读安全级别高于它的数据;下写,主体不可写安全级别低于它的数据B .下读,主体不可读安全级别高于它的数据;上写,主体不可写安全级别低于它的数据C .上读,主体不可读安全级别低于它的数据;下写,主体不可写安全级别高于它的数据D .下读,主体不可读安全级别低于它的数据;上写,主体不可写安全级别高于它的数 据31.以下哪组全部是完整性模型?A .BLP 模型和 BIBA 模型 B. BIBA 模型和 Clark - Wilson 模型 C .Chinese wall 模型和 BIBA 模型 D. Clark -Wilson 模型和 Chinese wall 模型32.以下哪个模型主要用于医疗资料的保护?33.以下哪个模型主要用于金融机构信息系统的保护?34.以下哪组全部都是多边安全模型? A . BLP 模型和 BIBA 模型 C .Chinese wall 模型和 BMA 模型35.涉及计算机系统完整性的第一个安全模型是以下哪一个?A .Chinese wall 模型B .BIBA 模型C .Clark - Wilson 模型D .BMA 模型36.应用软件的正确测试顺序是什么?A . 集成测试、单元测试、系统测试、验收测试B . 单元测试、系统测试、集成测试、验收测试C . 验收测试、单元测试、集成测试、系统测试D . 单元测试、集成测试、系统测试、验收测试37.有 8 个关系型数据库表格,每个表格有两行、三列,如果有20 个用户对这 8 个表格进行只读访问,那么分配多少个安全授权即可保证表格级的安全需求?A .160B .320C . 960D .48038.以下哪个安全特征和机制是 SQL 数据库所特有的? A .标识和鉴别 B .交易管理( transaction management )C .审计D .故障承受机制A .Chinese wall 模型B .BIBA 模型C .Clark - Wilson 模型D .BMA 模型A .Chinese wall 模型B .BIBA 模型C .Clark - Wilson 模型D .BMA 模型B. BIBA 模型和 Clark -Wilson 模型D. Clark - Wilson 模型和 Chinese wall 模型39. SQL 数据库使用以下哪种组件来保存真实的数据?40.关系型数据库技术的特征由以下哪些元素确定的? A .行和列 B .节点和分支 C .分组和箭头 D .父类和子类 41.分布式关系型数据库与集中式的关系型数据库相比在以下哪个方面有缺点?A .自主性B .可靠性C .灵活性D .数据备份42.不属于数据库加密方式的是:A.库外加密 B.库内加密 C.硬件 /软件加密 D.专用加密中间件 43.在数据库向因特网开放前,哪个步骤是可以忽略的?A. 安全安装和配置操作系统和数据库系统B. 应用系统应该在内网试运行 3 个月C. 对应用软件如 WEB 页面、 ASP 脚本等进行安全性检查D. 网络安全策略已经生效44.在实际应用中,下面那种方式的加密形式既安全又方便? A.选择性记录加密B.选择性字段加密C.数据表加密D. 系统表加密45.以下哪种方法可以用于对付数据库的统计推论?46.国际标准化组织 ISO7498-2 中描述的 OSI 安全体系结构有多少种安全服务项目和多少 种安全机制?A .5种,8 种B .8种,5种C .6种,8种D .3种,6 种48.以下几种功能中,哪个是DBMS 的控制功能?A.数据定义B.数据恢复C.数据修改D. 数据查询 49.从部署的位置看,入侵检测系统主要分为? A .网络型、控制型B .主机型、混合型C .网络型、主机型D .主机型、诱捕型50.典型的混合式入侵检测系统主要由哪两个部件组成? A .入侵检测引擎、管理控制台 B.分析器、入侵检测引擎 C .分析器、管理控制台D. 分析器、主机控制51.传统的观点根据入侵行为的属性,将入侵检测系统分为:A . SchemasB . SubschemasC .TablesD . ViewsA .信息流控制B .共享资源矩阵C .查询控制D .间接存取47.数据库管理系统 A.文件管理器和查询处理器C.存储管理器和查询处理器DBMS 主要由哪两大部分组成?B. 事务处理器和存储管理器 D. 文件管理器和存储管理器52.一个通常的入侵检测系统由哪几部分组成? A .数据提取模块、数据分析模块、结果处理模块 B .数据处理模块、数据分析模块、结果分析模块C .数据提取模块、数据处理模块、结果分析模块D .数据分析模块、数据处理模块、结果处理模块 53.目前 IDS 最常用的模式匹配属于以下哪知入侵检测方法? A .异常B.误用C .人工免疫D. 统计分析54.消息鉴别码( MAC )是什么? A .数据校验值B .密码校验值C .数字签名55.数字签名和随机数挑战 不能 防范以下哪种攻击或恶意行为? A .伪装欺骗 B .重放攻击 C .抵赖D .DOS 攻击56.与 RSA 相比,数字签名标准( DSS )不能提供以下哪种服务? A .数字签名 B .鉴别 C .加密D .数据完整性 57.在密码学中,对 RSA 算法的描述正确的是?A . RSA 是秘密密钥算法和对称密钥算法B . RSA 是非对称密钥算法和公钥算法C . RSA 是秘密密钥算法和非对称密钥算法D .RSA 是公钥算法和对称密钥算法58.以下哪种密码算法是理论上证明不能破解的算法? A .DESB .OTPC . IDEAD . RC459. Kerberos 使用以下哪种对称密码算法? A .RSAB .DESC . IDEAD .DSS60.以下哪个是既可以进行加密又可以进行数字签名的密码算法? A .RSAB .DESC . IDEAD .DSA61.以下哪种说法是正确的?62. Kerberos 提供的最重要的安全服务是? A .鉴别B .机密性C .完整性D .可用性63.加密技术不能提供以下哪种安全服务?A .异常、人工免疫 C .人工免疫、遗传B.误用、遗传 D.异常、误用D .循环冗余校验值A . RSA 算法产生签名比 DSA 慢,验证签名也比 DSA 慢;B . RSA 算法产生签名比C . RSA 算法产生签名比 DSA 慢,但验证签名比 DSA 快,验证签名也比 DSA 快; DSA 快;D . RSA 算法产生签名比DSA 快,但验证签名比DSA 慢。
CISP试题及答案汇总
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】 B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】 C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
cisp试题及答案(515多题整理版)
cisp试题及答案(515多题整理版) cisp试题及答案(515多题整理版)1. 以下哪项不是CISP的组成部分?A. 信息安全政策B. 信息安全组织C. 信息安全培训D. 信息安全审计答案:D2. CISP的全称是什么?A. Certified Information Systems ProfessionalB. Certified Information Security ProfessionalC. Certified Information Systems Security ProfessionalD. Certified Information System Professional答案:B3. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 5年答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机试C. 口试D. 实操答案:B5. CISP认证的考试语言有哪些?A. 英语B. 中文C. 法语D. 所有选项答案:D6. CISP认证考试的题型是什么?A. 单选题B. 多选题C. 判断题D. 简答题答案:A7. CISP认证考试的总题数是多少?A. 100题B. 200题C. 300题D. 400题答案:C8. CISP认证考试的通过分数是多少?A. 60%B. 70%C. 80%D. 90%答案:C9. CISP认证考试的考试时间是多长?A. 1小时B. 2小时C. 3小时D. 4小时答案:C10. CISP认证考试的报名费用是多少?A. 500美元B. 700美元C. 1000美元D. 1500美元答案:B11. CISP认证考试的考试内容主要涉及哪些方面?A. 信息安全管理B. 信息安全技术C. 信息安全法律D. 所有选项答案:D12. CISP认证考试的考试内容不包括以下哪项?A. 风险评估B. 业务持续性管理C. 信息安全策略D. 数据库管理答案:D13. CISP认证考试的考试内容中,关于信息安全策略的知识点包括哪些?A. 信息安全策略的制定B. 信息安全策略的实施C. 信息安全策略的评估D. 所有选项答案:D14. CISP认证考试的考试内容中,关于风险评估的知识点包括哪些?A. 风险识别B. 风险分析C. 风险处理D. 所有选项答案:D15. CISP认证考试的考试内容中,关于业务持续性管理的知识点包括哪些?A. 业务影响分析B. 灾难恢复计划C. 应急响应计划D. 所有选项答案:D16. CISP认证考试的考试内容中,关于信息安全技术的知识点包括哪些?A. 加密技术B. 防火墙技术C. 入侵检测系统D. 所有选项答案:D17. CISP认证考试的考试内容中,关于信息安全法律的知识点包括哪些?A. 数据保护法B. 计算机犯罪法C. 知识产权法D. 所有选项答案:D18. CISP认证考试的考试内容中,关于信息安全管理的知识点包括哪些?A. 安全管理的框架B. 安全管理的过程C. 安全管理的控制D. 所有选项答案:D19. CISP认证考试的考试内容中,关于信息安全培训的知识点包括哪些?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 所有选项答案:D20. CISP认证考试的考试内容中,关于信息安全审计的知识点包括哪些?A. 审计计划B. 审计程序C. 审计报告D. 所有选项答案:D21. CISP认证考试的考试内容中,关于信息安全组织管理的知识点包括哪些?A. 组织结构B. 组织政策C. 组织文化D. 所有选项答案:D22. CISP认证考试的考试内容中,关于信息安全培训的知识点不包括以下哪项?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 培训课程设计答案:D23. CISP认证考试的考试内容中,关于信息安全审计的知识点不。
CISP试题及答案五套题
1.人们对信息平安的认识从信息技术平安开展到信息平安保障,主要是出于:A. 为了更好的完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的开展D. 除了保密性,信息的完整性和可用性也引起了人们的关注2.?GB/T 20274信息系统平安保障评估框架?中的信息系统平安保障级中的级别是指:A. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息平安特征和范畴的说法错误的选项是:A. 信息平安是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素B. 信息平安是一个动态的问题,他随着信息技术的开展普及,以及产业根底,用户认识、投入产出而开展C. 信息平安是无边界的平安,互联网使得网络边界越来越模糊,因此确定一个组织的信息平安责任是没有意义的D. 信息平安是非传统的平安,各种信息网络的互联互通和资源共享,决定了信息平安具有不同于传统平安的特点4. 美国国防部提出的?信息保障技术框架?〔IATF〕在描述信息系统的平安需求时,将信息技术系统分为:A. 内网和外网两个局部B. 本地计算机环境、区域边界、网络和根底设施、支撑性根底设施四个局部C. 用户终端、效劳器、系统软件、网络设备和通信线路、应用软件五个局部D. 信用户终端、效劳器、系统软件、网络设备和通信线路、应用软件,平安防护措施六个局部5. 关于信息平安策略的说法中,下面说法正确的选项是:A. 信息平安策略的制定是以信息系统的规模为根底B. 信息平安策略的制定是以信息系统的网络???C. 信息平安策略是以信息系统风险管理为根底D. 在信息系统尚未建立完成之前,无法确定信息平安策略6. 以下对于信息平安保障深度防御模型的说法错误的选项是:A. 信息平安外部环境:信息平安保障是组织机构平安、国家平安的一个重要组成局部,因此对信息平安的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
CISP试题及答案六套题
1C2A3D4B5C1、以下关于信息平安保障深度防御模型的说法错误的选项是:A、信息平安外部环境、信息平安保障是组织机构平安、国家平安的一个重要组成部份,因此对信息平安的讨论必需放在国家政策、法律法规和标准的外部环境制约下B、信息平安治理和工程,信息平安保障需要在整个组织机构内成立和完善信息平安治理体系,将信息平安治理综合至信息系统的整个生命周期,在那个进程中,咱们需要采纳信息系统工程的方式来建设信息系统C、信息平安人材体系,在组织机构中应成立完善的平安意识,培训体系也是信息平安保障的重要组成部份D、信息平安技术方案:“从外面内,自下而上,形成边界到端的防护能力”2、人们对信息平安的熟悉从信息技术平安进展到信息平安保障,主若是由于:A、为了更好地完成组织机构的使命B、针对信息系统的解决方式发生重大转变C、风险操纵技术取得革命性的进展D、除保密性,信息的完整性和可用性也引发了人们的关注3、关于信息保障技术框架(IATF),以下哪一种说法是错误的?A、IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的平安保障B、IATF强调深度防御,即对信息系统采纳多层防护,实现组织的业务平安运作C、IATF强调从技术、治理和人等多个角度来保障信息系统的平安D、IATF强调的是以平安检测、漏洞监测和自适应填充“平安间隙”为循环来提高网络平安4、信息系统爱惜轮廓(ISPP)概念了___________A、某种类型信息系统的与实现无关的一组系统级平安保障要求B、某种类型信息系统的与实现相关的一组系统级平安保障要求C、某种类型信息系统的与实现无关的一组系统级平安保障目的D、某种类型信息系统的与实现相关的一组系统级平安保障目的5、下面关于信息平安特点和范围的说法错误的选项是:A、信息安满是一个系统性的问题,不仅要考虑信息系统本身的技术问题,还要考虑人员、治理、政策等众多因素B、信息安满是一个动态的问题,它随着信息技术的进展普及,和产业基础、用户熟悉、投入产出而进展C、信息安满是无边界的平安,互联网使得网络边界愈来愈模糊,因此确信一个组织的信息平安责任是没成心义的D、信息安满是非传统的平安,各类信息网络的互联互通和资源共享,决定了信息平安具有不同于传统平安的特点6C7A8B9C10D6、椭圆曲线密码方案是指:A、基于椭圆曲线上的大整数分解问题构建的密码方案B、通过椭圆曲线方程求解的困难性构建的密码方案C、基于椭圆曲线上有限域离散对数问题构建的密码方案D、通过寻觅是单向陷门函数的椭圆曲线函数构建的密码方案7、hash算法的碰撞是指:A、两个不同的消息,取得相同的消息摘要B、两个相同的消息,取得不同的消息摘要C、消息摘要和消息的长度相同D、消息摘要比消息长度更长8、Alice从Sue那里收到一个发给她的密文,其他人无法解密那个密文,Alice需要用哪个密钥来解密那个密文?A、Alice的公钥B、Alice的私钥C、Sue的公钥D、Sue的私钥9、数字签名应具有的性质不包括:A、能够验证签名者B、能够认证被签名消息C、能够爱惜被签名的数据机密性D、签名必需能够由第三方验证10、Alice有一个消息M通过密钥K和MAC算法生成一个MAC为C(K,M),Alice将那个MAC附加在消息M后面发送给Bob,Bob用密钥K和消息M计算MAC并进行比较,那个进程能够提供什么平安效劳?A、仅提供保密性B、仅提供不可否定性C、提供消息认证D、保密性和消息认证11C12C13B14C15B11、时刻戳的引入主若是为了避免:A、死锁B、丢失C、重放D、拥塞12、与RSA(rivest,shamir,adleman)算法相较,DSS(digital signature standard)不包括:A、数字签名B、辨别机制C、加密机制D、数据完整性13、在数字信封中,综合利用对称加密算法和公钥加密算法的要紧缘故是:A、混合利用两种加密方式能够增加破译者的难度,使其加倍难以破译原文,从而保障信息的保密性B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种折中做法C、两种加密算法的混用,能够提高加密的质量,这是我国密码政策所规定的要求D、数字信封综合采纳这两种算法为的是为了避免收到信息的一方否定他收到了该信息,即抗同意方抵赖14、以下哪个选项是公钥基础设施(PKI)的密钥互换处置流程?(1)接收者解密并获取会话密钥(2)发送者请求接收者的公钥(3)公钥从公钥目录中被发送出去(4)发送者发送一个由接收者的公钥加密过的会话密钥A、4,3,2,1B、2,1,3,4C、2,3,4,1D、2,4,3,115、IPSEC密钥协商方式有:A、一种,手工方式B、二种,手工方式、IKE自动协商C、一种,IKE自动协商D、二种,IKE自动协商、隧道协商16A17D18B19D20D16、以下哪一项不是工作在网络第二层的隧道协议:A、VTPB、L2FC、PPTPD、L2TP17、与PDR模型相较,P2DR模型多了哪个环节?A、防护B、检测C、反映D、策略18、以下有关访问操纵矩阵中行和列中元素的描述正确的选项是:A、行中放用户名,列中放对象名B、行中放程序名,列中放用户名C、列中放用户名,行中放设备名D、列中放题目,行中放程序19、以下哪一种访问操纵模型是通过访问操纵矩阵来操纵主体与客体之间的交互?A、强制访问操纵(MAC)B、集中式访问操纵(Decentralized Access Control)C、散布式访问操纵(Distributed AccessControl)D、自主访问操纵(DAC)20、以下哪一项不是BLP模型的要紧任务:A、概念使得系统取得“平安”的状态集合B、检查所有状态的转变均始于一个“平安状态”并终止于另一个“平安状态”C、检查系统的初始状态是不是为“平安状态”D、选择系统的终止状态21D22A23A24B25D21、访问操纵表与访问能力表相较,具有以下那个特点:A、访问操纵表更易实现访问权限的特点B、访问能力表更易阅读访问权限C、访问操纵表回收访问权限更困难D、访问操纵表更适用于集中式系统22、在Clark-Wilson模型中哪一项不是保证完整性任务的?A、避免职权的滥用B、避免非授权修改C、保护内部和外部的一致性D、避免授权但不适本地修改23、以下对单点登录技术描述不正确的选项是:A、单点登录技术实质是平安凭证在多个用户之间的传递或共享B、利用单点登录技术用户只需在登录时进行一次注册,就能够够访问多个应用C、单点登录不仅方便用户利用,而且也便于治理D、利用单点登录技术能简化应用系统的开发24、辨别的大体途径有三种:所知、所有和个人特点,以下哪一项不是基于你所明白的:A、口令B、令牌C、知识D、密码25、系统审计日记不包括以下哪一项:A、时刻戳B、用户标识C、对象标识D、处置结果26B27B28B29B30C26、以下哪一项不是审计方法的平安目标:A、发觉试图绕过系统平安机制的访问B、记录雇员的工作效率C、记录对访问客体采纳的访问方式D、发觉越权的访问行为27、一个VLAN能够看做是一个:A、冲突域B、广播域C、治理域D、阻塞域28、以下对RADIUS协议说法正确的选项是:A、它是一种B/S结构的协议B、它是一项通用的认证计费协议C、它利用TCP通信D、它的大体组件包括认证、授权和加密29、UDP协议和TCP协议对应于ISO/OSI模型的哪一层?A、链路层B、传输层C、会话层D、表示层30、路由器的扩展访问操纵列表能够检查流量的那些大体信息?A、协议,vtan id,源地址,目标地址B、协议,vian id,源端口,目标端口C、源地址,目地地址,源端口,目标端口,协议D、源地址,目地地址,源端口,目标端口,互换机端口号31A32B33B34C5B31、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行操纵?A、ICMPB、IGMPC、ARPD、SNMP32、TCP采纳第三次握手来成立一个连接,第二次握手传输什么信息:A、SYNB、SYN+ACKC、ACKD、FIN33、某个客户的网络此刻能够正常访问Internet互联网,共有200台终端PC但此客户从ISP(互联网络效劳提供商),互联网最好采取什么方式或技术:A、花更多的钱向ISP申请更多的IP地址B、在网络的出口路由器上做源NATC、在网络的出口路由器上做目的NATD、在网络出口处增加必然数量的路由器34、以下哪个一个项对“ARP”的说明是正确的:A、Access routing protocol----访问路由协议B、Access routing protocol----访问解析协议C、Address resolution protocol-地址解析协议D、Address recovery protocol-地址恢复协议35、下面关于协议的说法错误的选项是?A、传输速度可达到56KbpsB、其优势是反复的错误校验很是费时C、其缺点是反复的错误校验很是费时D、由于它与TCP/IP协议相较处于劣势,因此渐渐被后者淘汰36D37C38D39B40D36、以下关于DMZ区的说法错误的选项是:A、它是网络平安防护的一个“非军事区”B、它是对“深度防御”概念的一种实现方案C、它是一种比较经常使用的网络平安域划分方式D、要想搭建它至少需要两台防火墙37、哪一类防火墙具有依照传输信息的内容(如关键字、文件类型)来操纵访问持续的能力?A、包过滤防火墙B、状态监测防火墙C、应用网关防火墙D、以上都不是38、以下哪一项不属于入侵检测系统的功能A、监视网络上的通信数据流B、捕捉可疑的网络活动C、提供平安审计报告D、过滤非法的数据包39、下面哪一项不是通过IDS模型的组成部份:A、传感器B、过滤器C、分析器D、治理器40、下面哪一项为哪一项对IDS的正确描述?A、基于特点(Signature-based)的系统能够检测新的解决类型B、基于特点(Signature-based)的系统化基于行为(behavior-based)的系统产生更多的误报C、基于行为(behavior-based)的系统保护状态数据库来与数据包和解决相匹配D、基于行为(behavior-based)的系统比基于特点(Signature-based)的系统有更高的误报41D42B43D44D45D41、可信计算技术不能:A、确保系统具有免疫能力,从全然上阻止病毒和黑客等软件的解决B、确保密钥操作和存储的平安C、确保硬件环境配置、操作系统内核、效劳及应用程序的完整性D、使运算机具有更高的稳固性42、chmod 744 test命令执行的结果是:A、test文件的所有者具有执行读写权限,文件所属的组合其它用户有读的权限B、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读的权限C、test文件的所有者具有执行读和执行权限,文件所属的组和其它用户有读的权限D、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读和写的权限43、Linux系统的用户信息保留在passwd中,某用户条款backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的选项是:A、backup账号没有设置登录密码B、backup账号的默许主目录是/var/backupsC、backup账号登岸后利用的shell是/bin/shD、backup账号是无法进行登录44、以下对windows账号的描述,正确的选项是:A、windows系统是采纳SID(平安标识符)来标识用户对文件或文件夹的权限B、windows系统是采纳用户名来标识用户对文件或文件夹的权限C、windows系统默许会生成administration和guest两个账号,两个账号都不许诺更名和删除D、windows系统默许生成administration和guest两个账号,两个账号都能够更名和删除45、以下哪一项不是IIS效劳器支持的访问操纵过滤类型?A、网络地址访问操纵B、web效劳器许可C、NTFS许可D、异样行为过滤46D47C48B49D50C46、以下哪个对windows系统日记的描述是错误的?A、windows系统默许有三个日记,系统日记,应用程序日记,平安日记B、系统日记跟踪各类各样的系统事件,例如跟踪系统启动进程中的事件或硬件和操纵器的故障C、应用日记跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息D、平安日记跟踪各类网络入侵事件,例如拒绝效劳解决、口令暴力破解等47、为了实现数据库的完整性操纵,数据库治理员应向DBMS提出一组完整性规那么来检查数据库中的数据,完整性规那么要紧由三部份组成,以下哪一项不是完整性规那么的内容?A、完整性约束条件B、完整性检查机制C、完整性修复机制D、违约处置机制48、数据库事务日记的用途是什么?A、事务日记B、数据恢复C、完整性约束D、保密性操纵49、以下哪一项不是SQL语言的功能A、数据概念B、数据检查C、数据操纵D、数据加密50、以下哪一项为哪一项和电子邮件系统无关的?A、PEMB、PGP51C52C53C54D55D51、下面关于cookie的说法错误的选项是:A、cookie是一小段存储在阅读器端文本信息,web应用程序能够读取cookie包括的信息B、cookie能够存储一些灵敏的用户信息,从而造成必然的平安风险C、通过cookie提交精妙构造的移动代码,绕过身份验证的解决叫做cookie欺骗D、防范cookie欺骗的一个有效方式是不利用cookie验证方式,而是用session验证方式52、电子商务平安要求的四个方面是:A、传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖B、存储的平安性、传输的高效性、数据的完整性和交易各方的身份认证C、传输的平安性、数据的完整性、交易各方的身份认证和交易不可抵赖性D、存储的平安性、传输的高效性、数据的完整性和交易的不可抵赖性53、Apache Web 效劳器的配置文件一样位于/usr/local/apache/conf目录,其顶用来操纵用户访问Apache目录的配置文件是:A、B、C、D、54、以下哪个是歹意代码采纳的隐藏技术A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是55、以下那种技术不是歹意代码的生存技术?A、反跟踪技术B、加密技术C、模糊变换技术D、自动解紧缩技术56B57B58D59D60D56、以下关于蠕虫病毒的说法错误的选项是:A、通常蠕虫的传播无需用户的操作B、蠕虫病毒的要紧危害体此刻对数据保密性的破坏C、蠕虫的工作原理与病毒相似,除没有感染文件时期D、是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序57、被以下哪一种病毒感染后,会使运算机产生以下现象:系统资源被大量占用,有时会弹出RPC效劳终止的对话框,而且系统反复重启,不能收发邮件、不能正常复制文件、无法正常阅读网页,复制粘贴等操作受到严峻阻碍的,DNS和IIS效劳受到非法拒绝等。
最新CISP试题及答案-7套题详解
1.下面关于信息安全保障的说法正确的是:A.信息安全保障的概念是与信息安全的概念同时产生的B.信息系统安全保障要素包括信息的完整性、可用性和保密性C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施在系统的生命周期内确保信息的安全属性2.根据《 GB / T20274 信息安全保障评估框架》,对信息系统安全保障能力进行评估应A.信息安全管理和信息安全技术2 个方面进行B.信息安全管理、信息安全技术和信息安全工程3 个方面进行C.信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进行3.哪一项不是《 GB / T20274 信息安全保障评估框架》给出的信息安全保障模通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征4.对于信息安全发展历史描述正确的是:A.信息安全的概念是随着计算机技术的广泛应用而诞生的B.目前信息安全己经发展到计算机安全的阶段C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人员同样是促进系统安全性的重要因素D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”,再到“信息安全”,直至现在的“信息安全保障”5.ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务A.加密B.数字签名C.访问控制D.路由控制6.表示层7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性A.ITSECB.TCSECC.GB/T9387.2D.彩虹系列的橙皮书8.下面对于CC 的“保护轮廓”( PP )的说法最准确的是:A.对系统防护强度的描述B.对评估对象系统进行规范化的描述C.对一类TOE 的安全需求,进行与技术实现无关的描述D.由一系列保证组件构成的包,可以代表预先定义的保证尺度9.以下哪一项属于动态的强制访问控制模型?A.Bell一Lapudufa 模型B.10.C.Strong star property 处于D.Bell 一Lapadula 模型的访问规则主要是出于对保密性的保护而制定的11.下面对于强制访问控制的说法错误的是?A 它可以用来实现完整性保护,也可以用来实现机密性保护B在强制访问控制的系统中,用户只能定义客体的安全属性C 它在军方和政府等安全要求很高的地方应用较多D 它的缺点是使用中的便利性比较低12.以下哪两个安全模型分别是多级完整性模型和多边保密模型?A.Biba 模型和Bell一Lapadula 模型B.Bell 一Lapaduia 模型和Biba 模型C.Chinese Wall 模型和Bell 一Lapadula 模型D.Biba 模型和Chinese Wall 模型13.在一个使用Chinese Wall 模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个兴趣冲突域中,那么可以确定一个新注册的用户:A.只有访问了W之后,才可以访问XB.只有访问了W之后,才可以访问Y和Z中的一个C.无论是否访问W,都只能访问Y和Z中的一个D.无论是否访问W,都不能访问Y或Z14.BMA访问控制模型是基于A.健康服务网络B.ARPANETC.ISPD.INTERNET15.16.证书持有者的公钥证书颁发机构的签名证书有效期17.下面关于密码算法的说法错误的是?A.分组密码又称作块加密B.流密码又称作序列密码C.DES算法采用的是流密码D.序列密码每次加密一位或一个字节的明文18.下面对于SSH的说法错误的是?A.SSH是Secure Shell的简称B.客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证C.通常Linux操作系统会在/usr/local目录下默认安装OpenSSHD.SSH2比SSH1更安全19.下面对于标识和鉴别的解释最准确的是:A.标识用于区别不同的用户,而鉴别用于验证用户身份的真实性B.标识用于区别不同的用户,而鉴别用于赋予用户权限C.标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性D.标识用于保证用户信息的完整性,而鉴别用于赋予用户权限20.指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:A.你是什么B.你有什么C.你知道什么D.你做了什么21.安全审计是对系统活动和记录的独立检查和验证,以下哪一项不是审计系统的A.辅助辨识和分析未经授权的活动或攻击B.对与己建立的安全策略的一致性进行核查C.及时阻断违反安全策略的访问D.帮助发现需要改进的安全控制措施22.下面哪一项不是通用IDS 模型的组成部分:A.传感器B.过滤器23.24.以下哪一项属于物理安全方面的管理控制措施?A.照明B.护柱C.培训D.建筑设施的材料25.以下哪种不是火灾探测器类型:A.电离型烟传感器B.光电传感器C.声学震动探测系统D.温度传感器26.以下关于事故的征兆和预兆说法不正确的是:A.预兆是事故可能在将来出现的标志B.征兆是事故可能己经发生或正在发生的标志C.预兆和征兆的来源包括网络和主机IDS 、防病毒软件、系统和网络日志D.所有事故的预兆和征兆都是可以发现的27.组织机构应根据事故类型建立揭制策略,需要考虑以下几个因素,除了:A、实施策略需要的时间和资源B、攻击者的动机C、服务可用性D、证据保留的时间28、下面安全套接字层协议(SSL)的说法错误的是?A、它是一种基于Web应用的安全协议B、由于SSL是内嵌的浏览器中的,无需安全客户端软件,所以相对于IPSEC 更简C、SSL与IPSec一样都工作在网络层D、SSL可以提供身份认证、加密和完整性校验的功能29、用来为网络中的主机自动分配IP地址、子网掩码、默认网关、wins服务器地址的网?A、ARPB、IGMPC、ICMPD、DHCP301 下面哪一项不是VPN协议标准:A、L2TPB、ipsecC、TACACS+D、PPTP30、IPSEC的两种使用模式分别是_______和_____A 传输模式、安全壳模式B 传输模式、隧道模式C 隧道模式、ESP模式D 安全壳模式、AH模式31、组成IPSEC的主要安全协议不包括以下哪一项:A 、 ESP B、 DSS C 、 IKE D、 AH32、在UNIX系统中输入命令“LS-al test”显示如下;-rwxr-xr-x 3 root root 1024 Sep 13 11:58 test”对他的含义解释错误的是:A、这是一个文件,而不是目录B、文件的拥有者可以对这个文件读、写和执行的操作C、文件所属组的成员有可以读它,也可以执行它D、其他所有用户只可以执行它33、计算机具有的IP地址是有限的,但通常计算机会开启多项服务或运行多个应用程序,那么如何在网络通信中对这些程序或服务进行单独标识?A 分配网络端口号(如ftp服务对应21端口)B 利用MAC地址C 使用子网掩码D 利用PKI/CA34、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache 目录的配置文件是:A httpd.confB srm.confC inetd.confD access.conf35、下面哪一项是操作系统中可信通路(trust path)机制的实例?A Window系统中ALT+CTRL+DELB root在Linux系统上具有绝对的权限C 以root身份作任何事情都要谨慎D 控制root用户的登录可以在/etc/security目录下的access.conf文件中进行设置36、以下对Windows服务的说法错误的是()A 为了提升系统的安全性管理员应尽量关闭不需要的服务B Windows服务只有在用户成功登录系统后才能运行C 可以作为独立的进程运行或以DLL的形式依附在Svchost.exeD windows服务通常是以管理员的身份运行的37、以下哪一项不是IIS服务器支持的访问控制过滤类型?A 网络地址访问控制B web服务器许可C NTFS许可D 异常行为过滤38、下列哪一项与数据库的安全有直接关系?A 访问控制的粒度B 数据库的大小C 关系表中属性的数量D 关系表中元组的数量39、下列哪一组Oracle数据库的默认用户名和默认口令?A 用户名:“Scott”;口令:“tiger”B 用户名:“Sa”;口令:“nullr”C 用户名:“root”;口令:“null”D 用户名:“admin”;口令:“null”40、关于数据库安全的说法错误的是?A 数据库系统的安全性很大程度上依赖于DBMS的安全机制B 许多数据库系统在操作系统一下文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件C 为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段D 数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护42、下面关于计算机恶意代码发展趋势的说法错误的是:A 木马和病毒盗窃日益猖獗B 利用病毒犯罪的组织性和趋利性增加C综合利用多种编程新技术、对抗性不断增加 D 复合型病毒减少,而自我保护功能增加43、关于网页中的恶意代码,下列说法错误的是:A 网页中的恶意代码只能通过IE浏览器发挥作用B 网页中恶意代码可以修改系统注册表C 网页中的恶意代码可以修改系统文件D 网页中的恶意代码可以窃取用户的机密性文件44、下面对于“电子邮件炸弹”的解释最准确的是:A 邮件正文中包含的恶意网站链接B 邮件附件中具有强破坏性的病毒C 社会工程的一种方式,具有恐吓内容的邮件D 在短时间内发送大量邮件软件,可以造成目标邮箱爆满45、以下哪一项是常见Web站点脆弱性扫描工具:A SnifferB NmapC AppscanD LC46、下面哪一项不是安全编程的原则A 尽可能使用高级语言进行编程B 尽可能让程序只实现需要的功能C 不要信任用户输入的数据D 尽可能考虑到意外的情况,并设计妥善的处理方法47、黑客进行攻击的最后一个步骤是:A 侦查与信息收集B 漏洞分析与目标选定C 获取系统权限D 打扫战场、清楚证据48、下面哪一项是缓冲溢出的危害?A 可能导致shellcode的执行而非法获取权限,破坏系统的保密性B 执行shellcode后可能进行非法控制,破坏系统的完整性C 可能导致拒绝服务攻击,破坏系统的可用性D 以上都是49、以下哪一项是DOS攻击的一个实例A SQL注入B IP SpoofC Smurf攻击D 字典破解50、以下对于蠕虫病毒的错误说法是()A 通常蠕虫的传播无需用户的操作B 蠕虫病毒的主要危害体现在对数据保密的破坏C 蠕虫的工作原理与病毒相似,除了没有感染文件D 是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统51、以下哪一项不是跨站脚本攻击?A 给网站挂马B 盗取COOKIEC 伪造页面信息D 暴力破解密码52.对能力成熟度模型解释最准确的是?A.它认为组织的能力依赖与严格定义,管理完善,可测可控的有效业务过程。
CISP整理试题及答案讲解
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统B.网络C.数据库D.应用程序系统答案:A2. 下述攻击手段中不属于DOS攻击的是:()A. Smurf 攻击B. Land 攻击C. Teardrop 攻击D. CGI 溢出攻击答案:D3. “中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A.“普密”、“商密”两个级别B.“低级”和“高级”两个级别C.“绝密”、“机密”、“秘密”三个级别D.“一密”、“二密”、“三密”、“四密”四个级别答案:C 。
4. 应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试答案:选项D。
5. 多层的楼房中,最适合做数据中心的位置是:A.一楼B.地下室C.顶楼D.除以上外的任何楼层答案:D。
6. 随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C. 对信息安全产品的测评认证制度是我国按照WTO 规则建立的技术壁垒的管理体制。
D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7. 计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A.系统管理员B.律师C.恢复协调员D. 硬件和软件厂商答案:B8. 下面的哪种组合都属于多边安全模型?A.TCSEC 和Bell-LaPadulaB.Chinese Wall 和BMAC.TCSEC 和Clark-WilsonD.Chinese Wall 和Biba答案:B。
cisp题库(2020年v2.3)
B、协议,vian id,源端口,目标端口
C、源地址,目地地址,源端口,目标端口,协议
D、源地址,目地地址,源端口,目标端口,交换机端口号
31、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行控制?
A、ICMPB、IGMPC、ARPD、SNMP
32、TCP采用第三次握手来建立一个连接,第二次握手传输什么信息:
C、基于椭圆曲线上有限域离散对数问题构建的密码方案
D、通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案
7、hash算法的碰撞是指:
A、两个不同的消息,得到相同的消息摘要B、两个相同的消息,得到不同的消息摘要
C、消息摘要和消息的长度相同D、消息摘要比消息长度更长
8、Alice从Sue那里收到一个发给她的密文,其他人无法解密这个密文,Alice需要用哪个密钥来解密这个密文?
A、口令B、令牌C、知识D、密码
25、系统审计日志不包括以下哪一项:
A、时间戳B、用户标识C、对象标识D、处理结果
26、以下哪一项不是审计措施的安全目标:
A、发现试图绕过系统安全机制的访问
B、记录雇员的工作效率
C、记录对访问客体采用的访问方式
D、发现越权的访问行为
27、一个VLAN可以看做是一个:
A、冲突域B、广播域C、管理域D、阻塞域
A、仅提供保密性B、仅提供不可否认性C、提供消息认证D、保密性和消息认证
11、时间戳的引入主要是为了防止:
A、死锁B、丢失C、重放D、拥塞
12、与RSA(rivest,shamir,adleman)算法相比,DSS(digital signature standard)不包括:
A、数字签名B、鉴别机制C、加密机制D、数据完整性
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 降低企业运营成本答案:B2. 在信息安全管理中,风险评估的目的是()。
A. 识别潜在的威胁B. 确定安全措施的成本C. 制定安全策略D. 所有以上选项答案:D3. CISP认证考试中,关于数据加密的说法正确的是()。
A. 对称加密算法比非对称加密算法更安全B. 非对称加密算法需要两个密钥C. 哈希函数是可逆的D. 量子加密是目前最安全的加密方式答案:B4. 以下哪项不属于信息安全管理的基本原则?()。
A. 保密性B. 完整性C. 可用性D. 可追溯性答案:D5. CISP认证考试中,关于网络安全的说法正确的是()。
A. 防火墙可以防止所有类型的网络攻击B. VPN提供了数据传输过程中的加密C. 入侵检测系统可以防止入侵行为的发生D. 网络隔离可以完全避免网络攻击答案:B二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持证人在信息安全领域具有专业知识和技能。
答案:(ISC)²2. 在信息安全领域中,________是一种通过隐藏信息内容来保护数据不被未授权访问的技术。
答案:加密3. 为了确保信息的完整性,通常会使用________技术来验证数据在传输或存储过程中是否被篡改。
答案:哈希函数4. 信息安全管理体系(ISMS)的国际标准是ISO/IEC 27001,它包括了一套用于________的准则和规定。
答案:管理信息安全5. 社会工程学是一种利用人的________来获取敏感信息或未授权访问系统的方法。
答案:心理和行为特点三、简答题1. 简述信息安全的重要性。
答案:信息安全对于保护个人隐私、企业商业秘密、国家安全等方面至关重要。
它可以有效防止数据泄露、网络攻击、身份盗窃等风险,确保信息的保密性、完整性和可用性。
cisp试题及答案
cisp试题及答案CISP试题及答案一、选择题(每题1分,共10分)1. 以下哪项不是CISP的认证目标?A. 提升个人网络安全技能B. 增强组织的信息安全防护能力C. 降低网络攻击的风险D. 提高个人编程能力答案:D2. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 终身有效答案:C3. 以下哪个不是CISP考试的科目?A. 信息安全基础B. 网络安全C. 软件开发D. 风险管理答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机考C. 面试D. 现场操作答案:B5. CISP认证的考试语言是?A. 英语B. 中文C. 法语D. 德语答案:A6. 以下哪项不是CISP认证的考试内容?A. 法律、法规和合规性B. 业务连续性管理C. 网络设备配置D. 信息安全管理答案:C7. CISP认证适合哪些人员?A. IT管理人员B. 网络安全专家C. 软件开发人员D. 所有以上答案:D8. CISP认证的考试通过标准是什么?A. 60%正确率B. 70%正确率C. 80%正确率D. 100%正确率答案:B9. CISP认证的考试费用是多少?A. 1000元B. 2000元C. 3000元D. 4000元答案:C10. CISP认证的考试时长是多少?A. 1小时B. 2小时C. 3小时D. 4小时答案:C二、简答题(每题5分,共20分)1. 简述CISP认证的重要性。
答案:CISP认证对于个人而言,是专业能力的认可,有助于职业发展和技能提升。
对于组织而言,拥有CISP认证的员工可以增强组织的信息安全防护能力,降低信息安全风险。
2. 描述CISP认证的考试流程。
答案:CISP认证考试流程通常包括注册、备考、参加考试、成绩公布和认证证书的颁发。
考生需要在指定的考试中心完成机考,考试合格后,将获得认证证书。
3. 解释CISP认证的继续教育要求。
答案:CISP认证持有者需要每两年完成一定的继续教育学分,以保持认证的有效性。
CISP试题及答案多题版精编版
C I S P试题及答案多题版集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-1.以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2.以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3.以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】D4.企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A.不需要全体员工的参入,只要IT部门的人员参入即可B.来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】A5.信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A.ISMS是一个遵循PDCA模式的动态发展的体系B.ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D.ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】D6.PDCA特征的描述不正确的是A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D.信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7.以下哪个不是信息安全项目的需求来源A.国家和地方政府法律法规与合同的要求B.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志【答案】D8.ISO27001认证项目一般有哪几个阶段?A.管理评估,技术评估,操作流程评估B.确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D.基础培训,RA培训,文件编写培训,内部审核培训【答案】B9.构成风险的关键因素有哪些?A.人,财,物B.技术,管理和操作C.资产,威胁和弱点D.资产,可能性和严重性【答案】C10.以下哪些不是应该识别的信息资产?A.网络设备B.客户资料C.办公桌椅D.系统管理员【答案】C11.以下哪些是可能存在的威胁因素?BA.设备老化故障B.病毒和蠕虫C.系统设计缺陷D.保安工作不得力【答案】B12.以下哪些不是可能存在的弱点问题?A.保安工作不得力B.应用系统存在BugC.内部人员故意泄密D.物理隔离不足【答案】C13.风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A.只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C.可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D.资产识别务必明确责任人、保管者和用户【答案】B14.风险分析的目的是?A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】C15.对于信息安全风险的描述不正确的是?A.企业信息安全风险管理就是要做到零风险B.在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(RiskManagement)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP试题和答案-六套题
CISP试题和答案-六套题1C2A3D4B5C1、下列对于信息安全保障深度防御模型的说法错误的是:A、信息安全外部环境、信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下B、信息安全管理和工程,信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统C、信息安全人才体系,在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分D、信息安全技术方案:“从外面内,自下而上,形成边界到端的防护能力”2、人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:A、为了更好地完成组织机构的使命B、针对信息系统的攻击方式发生重大变化C、风险控制技术得到革命性的发展D、除了保密性,信息的完整性和可用性也引起了人们的关注3、关于信息保障技术框架(IATF),下列哪种说法是错误的?A、IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障B、IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全4、信息系统保护轮廓(ISPP)定义了___________A、某种类型信息系统的与实现无关的一组系统级安全保障要求B、某种类型信息系统的与实现相关的一组系统级安全保障要求C、某种类型信息系统的与实现无关的一组系统级安全保障目的D、某种类型信息系统的与实现相关的一组系统级安全保障目的5、下面对于信息安全特征和范畴的说法错误的是:A、信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术问题,还要考虑人员、管理、政策等众多因素B、信息安全是一个动态的问题,它随着信息技术的发展普及,以及产业基础、用户认识、投入产出而发展C、信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的D、信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点6C7A8B9C10D6、椭圆曲线密码方案是指:A、基于椭圆曲线上的大整数分解问题构建的密码方案B、通过椭圆曲线方程求解的困难性构建的密码方案C、基于椭圆曲线上有限域离散对数问题构建的密码方案D、通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案7、hash算法的碰撞是指:A、两个不同的消息,得到相同的消息摘要B、两个相同的消息,得到不同的消息摘要C、消息摘要和消息的长度相同D、消息摘要比消息长度更长8、Alice从Sue那里收到一个发给她的密文,其他人无法解密这个密文,Alice需要用哪个密钥来解密这个密文?A、Alice的公钥B、Alice的私钥C、Sue的公钥D、Sue的私钥9、数字签名应具有的性质不包括:A、能够验证签名者B、能够认证被签名消息C、能够保护被签名的数据机密性D、签名必须能够由第三方验证10、Alice有一个消息M通过密钥K和MAC算法生成一个MAC 为C(K,M),Alice将这个MAC附加在消息M后面发送给Bob,Bob用密钥K和消息M计算MAC并进行比较,这个过程可以提供什么安全服务?A、仅提供保密性B、仅提供不可否认性C、提供消息认证D、保密性和消息认证11C12C13B14C15B11、时间戳的引入主要是为了防止:A、死锁B、丢失C、重放D、拥塞12、与RSA(rivest,shamir,adleman)算法相比,DSS (digital signature standard)不包括:A、数字签名B、鉴别机制C、加密机制D、数据完整性13、在数字信封中,综合使用对称加密算法和公钥加密算法的主要原因是:A、混合使用两种加密方法可以增加破译者的难度,使其更加难以破译原文,从而保障信息的保密性B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种折中做法C、两种加密算法的混用,可以提高加密的质量,这是我国密码政策所规定的要求D、数字信封综合采用这两种算法为的是为了防止收到信息的一方否认他收到了该信息,即抗接受方抵赖14、下列哪个选项是公钥基础设施(PKI)的密钥交换处理流程?(1)接收者解密并获取会话密钥(2)发送者请求接收者的公钥(3)公钥从公钥目录中被发送出去(4)发送者发送一个由接收者的公钥加密过的会话密钥A、4,3,2,1B、2,1,3,4C、2,3,4,1D、2,4,3,115、IPSEC密钥协商方式有:A、一种,手工方式B、二种,手工方式、IKE自动协商C、一种,IKE自动协商D、二种,IKE自动协商、隧道协商16A17D18B19D20D16、以下哪一项不是工作在网络第二层的隧道协议:A、VTPB、L2FC、PPTPD、L2TP17、与PDR模型相比,P2DR模型多了哪一个环节?A、防护B、检测C、反应D、策略18、以下有关访问控制矩阵中行和列中元素的描述正确的是:A、行中放用户名,列中放对象名B、行中放程序名,列中放用户名C、列中放用户名,行中放设备名D、列中放标题,行中放程序19、下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互?A、强制访问控制(MAC)B、集中式访问控制(Decentralized Access Control)C、分布式访问控制(Distributed AccessControl)D、自主访问控制(DAC)20、以下哪一项不是BLP模型的主要任务:A、定义使得系统获得“安全”的状态集合B、检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态”C、检查系统的初始状态是否为“安全状态”D、选择系统的终止状态21D22A23A24B25D21、访问控制表与访问能力表相比,具有以下那个特点:A、访问控制表更容易实现访问权限的特点B、访问能力表更容易浏览访问权限C、访问控制表回收访问权限更困难D、访问控制表更适用于集中式系统22、在Clark-Wilson模型中哪一项不是保证完整性任务的?A、防止职权的滥用B、防止非授权修改C、维护内部和外部的一致性D、防止授权但不适当地修改23、以下对单点登录技术描述不正确的是:A、单点登录技术实质是安全凭证在多个用户之间的传递或共享B、使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用C、单点登录不仅方便用户使用,而且也便于管理D、使用单点登录技术能简化应用系统的开发24、鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:A、口令B、令牌C、知识D、密码25、系统审计日志不包括以下哪一项:A、时间戳B、用户标识C、对象标识D、处理结果26B27B28B29B30C26、以下哪一项不是审计措施的安全目标:A、发现试图绕过系统安全机制的访问B、记录雇员的工作效率C、记录对访问客体采用的访问方式D、发现越权的访问行为27、一个VLAN可以看做是一个:A、冲突域B、广播域C、管理域D、阻塞域28、以下对RADIUS协议说法正确的是:A、它是一种B/S结构的协议B、它是一项通用的认证计费协议C、它使用TCP通信D、它的基本组件包括认证、授权和加密29、UDP协议和TCP协议对应于ISO/OSI模型的哪一层?A、链路层B、传输层C、会话层D、表示层30、路由器的扩展访问控制列表能够检查流量的那些基本信息?A、协议,vtan id,源地址,目标地址B、协议,vian id,源端口,目标端口C、源地址,目地地址,源端口,目标端口,协议D、源地址,目地地址,源端口,目标端口,交换机端口号31A32B33B34C5B31、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行控制?A、ICMPB、IGMPC、ARPD、SNMP32、TCP采用第三次握手来建立一个连接,第二次握手传输什么信息:A、SYNB、SYN+ACKC、ACKD、FIN33、某个客户的网络现在可以正常访问Internet互联网,共有200台终端PC但此客户从ISP (互联网络服务提供商),互联网最好采取什么方法或技术:A、花更多的钱向ISP申请更多的IP地址B、在网络的出口路由器上做源NATC、在网络的出口路由器上做目的NATD、在网络出口处增加一定数量的路由器34、以下哪个一个项对“ARP”的解释是正确的:A、Access routing protocol----访问路由协议B、Access routing protocol----访问解析协议C、Address resolution protocol-地址解析协议D、Address recovery protocol-地址恢复协议35、下面对于X.25协议的说法错误的是?A、传输速率可达到56KbpsB、其优点是反复的错误校验颇为费时C、其缺点是反复的错误校验颇为费时D、由于它与TCP/IP协议相比处于劣势,所以渐渐被后者淘汰36D37C38D39B40D36、下列对于DMZ区的说法错误的是:A、它是网络安全防护的一个“非军事区”B、它是对“深度防御”概念的一种实现方案C、它是一种比较常用的网络安全域划分方式D、要想搭建它至少需要两台防火墙37、哪一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问连续的能力?A、包过滤防火墙B、状态监测防火墙C、应用网关防火墙D、以上都不是38、以下哪一项不属于入侵检测系统的功能A、监视网络上的通信数据流B、捕捉可疑的网络活动C、提供安全审计报告D、过滤非法的数据包39、下面哪一项不是通过IDS模型的组成部分:A、传感器B、过滤器C、分析器D、管理器40、下面哪一项是对IDS的正确描述?A、基于特征(Signature-based)的系统可以检测新的攻击类型B、基于特征(Signature-based)的系统化基于行为(behavior-based)的系统产生更多的误报C、基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配D、基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报41D42B43D44D45D41、可信计算技术不能:A、确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击B、确保密钥操作和存储的安全C、确保硬件环境配置、操作系统内核、服务及应用程序的完整性D、使计算机具有更高的稳定性42、chmod 744 test命令执行的结果是:A、test文件的所有者具有执行读写权限,文件所属的组合其它用户有读的权限B、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读的权限C、test文件的所有者具有执行读和执行权限,文件所属的组和其它用户有读的权限D、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读和写的权限43、Linux系统的用户信息保存在passwd中,某用户条目backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的是:A、backup账号没有设置登录密码B、backup账号的默认主目录是/var/backupsC、backup账号登陆后使用的shell是/bin/shD、backup账号是无法进行登录44、以下对windows账号的描述,正确的是:A、windows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除D、windows系统默认生成administration和guest两个账号,两个账号都可以改名和删除45、以下哪一项不是IIS服务器支持的访问控制过滤类型?A、网络地址访问控制B、web服务器许可C、NTFS许可D、异常行为过滤46D47C48B49D50C46、以下哪个对windows系统日志的描述是错误的?A、windows系统默认有三个日志,系统日志,应用程序日志,安全日志B、系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障C、应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息D、安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等47、为了实现数据库的完整性控制,数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据,完整性规则主要由三部分组成,以下哪一项不是完整性规则的内容?A、完整性约束条件B、完整性检查机制C、完整性修复机制D、违约处理机制48、数据库事务日志的用途是什么?A、事务日志B、数据恢复C、完整性约束D、保密性控制49、以下哪一项不是SQL语言的功能A、数据定义B、数据检查C、数据操纵D、数据加密50、以下哪一项是和电子邮件系统无关的?A、PEMB、PGPC、X.500D、X.40051C52C53C54D55D51、下面对于cookie的说法错误的是:A、cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息,从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法,而是用session验证方法52、电子商务安全要求的四个方面是:A、传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖B、存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证C、传输的安全性、数据的完整性、交易各方的身份认证和交易不可抵赖性D、存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性53、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:A、httpd.confB、srm.confC、access.confD、inetd.conf54、以下哪个是恶意代码采用的隐藏技术A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是55、下列那种技术不是恶意代码的生存技术?A、反跟踪技术B、加密技术C、模糊变换技术D、自动解压缩技术56B57B58D59D60D56、以下对于蠕虫病毒的说法错误的是:A、通常蠕虫的传播无需用户的操作B、蠕虫病毒的主要危害体现在对数据保密性的破坏C、蠕虫的工作原理与病毒相似,除了没有感染文件阶段D、是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序57、被以下哪种病毒感染后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响的,DNS和IIS服务遭到非法拒绝等。
CISP试题及答案(2020年v3.1)
CISP试题及答案(2020年v3.1)1 信息安全发展各阶段中,下面哪一项是信息安全所面临的主要威胁A病毒B非法访问C信息泄漏D---口令2.关于信息保障技术框架IATF,下列说法错误的是A IATF强调深度防御,关注本地计算环境,区域边境,网络和基础设施,支撑性基础设施等多个领域的安全保障B IATF强调深度防御,针对信息系统采取多重防护,实现组织的业务安全运作。
C IATF强调从技术,管理和人等多个角度来保障信息系统的安全D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全3.美国国家安全局的《信息保障技术框架》IATF,在描述信息系统的安全需求时将信息系统分为A 内网和外网两个部分B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别4.下面那一项表示了信息不被非法篡改的属性A 可生存性B 完整性C 准确性D 参考完整性5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是A 信息系统安全保障不仅涉及安全技术,还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C 是一种通过客观保证向信息系统评估者提供主观信心的活动D6、一下那些不属于现代密码学研究A Enigma密码机的分析频率B --C diffie-herrman密码交换D 查分分析和线性分析7.常见密码系统包含的元素是:A. 明文、密文、信道、加密算法、解密算法B. 明文,摘要,信道,加密算法,解密算法C. 明文、密文、密钥、加密算法、解密算法D. 消息、密文、信道、加密算法、解密算法8.公钥密码的应用不包括:A. 数字签名B. 非安全信道的密钥交换C. 消息认证码D. 身份认证9.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?A. DSSB. Diffie-HellmanC. RSAD. AES10.目前对MD5,SHAI算法的攻击是指:A. 能够构造出两个不同的消息,这两个消息产生了相同的消息摘要B. 对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要C. 对于一个已知的消息摘要,能够恢复其原始消息D. 对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统B. 网络C. 数据库D. 应用程序系统答案:A2.下述攻击手段中不属于DOS攻击的是: ()A. Smurf攻击B. Land攻击C. Teardrop攻击D. CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A. “普密”、“商密”两个级别B. “低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D. “一密”、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件厂商答案:B。
8.下面的哪种组合都属于多边安全模型?A. TCSEC 和Bell-LaPadulaB. Chinese Wall 和BMAC. TCSEC 和Clark-WilsonD. Chinese Wall 和Biba答案:B。
9.下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?A. 虹膜检测技术B. 语音标识技术C. 笔迹标识技术D. 指纹标识技术答案:A。
10.拒绝服务攻击损害了信息系统的哪一项性能?B. 可用性C. 保密性D. 可靠性答案:B。
11.下列哪一种模型运用在JAVA安全模型中:A. 白盒模型B. 黑盒模型C. 沙箱模型D. 灰盒模型答案:C。
12.以下哪一个协议是用于电子邮件系统的?A. X.25B. X.75C. X.400D. X.500答案:C。
13.“如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响”,这一说法是适合于以下哪一种拓扑结构的网络的?A. 星型B. 树型C. 环型D. 复合型答案:A。
14.在一个局域网的环境中,其内在的安全威胁包括主动威胁和被动威胁。
以下哪一项属于被动威胁?A. 报文服务拒绝B. 假冒C. 数据流分析D. 报文服务更改答案:C。
15.Chinese Wall模型的设计宗旨是:A. 用户只能访问那些与已经拥有的信息不冲突的信息B. 用户可以访问所有信息C. 用户可以访问所有已经选择的信息D. 用户不可以访问那些没有选择的信息答案:A。
16.ITSEC中的F1-F5对应TCSEC中哪几个级别?A. D到B2B. C2到B3C. C1到B3D. C2到A1答案:C。
17.下面哪一个是国家推荐性标准?A. GB/T 18020-1999 应用级防火墙安全技术要求B. SJ/T 30003-93 电子计算机机房施工及验收规范C. GA 243-2000 计算机病毒防治产品评级准则D. ISO/IEC 15408-1999 信息技术安全性评估准则答案:A。
18.密码处理依靠使用密钥,密钥是密码系统里的最重要因素。
以下哪一个密钥算法在加密数据与解密时使用相同的密钥?A. 对称的公钥算法B. 非对称私钥算法C. 对称密钥算法D. 非对称密钥算法答案:C。
19.在执行风险分析的时候,预期年度损失(ALE)的计算是:A. 全部损失乘以发生频率B. 全部损失费用+实际替代费用C. 单次预期损失乘以发生频率D. 资产价值乘以发生频率20.作为业务持续性计划的一部分,在进行风险评价的时候的步骤是:1. 考虑可能的威胁2. 建立恢复优先级3. 评价潜在的影响4. 评价紧急性需求A. 1-3-4-2B. 1-3-2-4C. 1-2-3-4D. 1-4-3-2答案:A。
中安全功能/保证要求的三层结构是(按照由大到小的顺序):A. 类、子类、组件B. 组件、子类、元素C. 类、子类、元素D. 子类、组件、元素答案:A。
22.有三种基本的鉴别的方式: 你知道什么,你有什么,以及:A. 你需要什么B. 你看到什么C. 你是什么D. 你做什么答案:C。
23.为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?A. 人际关系技能B. 项目管理技能C. 技术技能D. 沟通技能答案:D。
24.以下哪一种人给公司带来了最大的安全风险?A. 临时工B. 咨询人员C. 以前的员工D. 当前的员工答案:D。
25.SSL提供哪些协议上的数据安全:A. HTTP,FTP和TCP/IPB. SKIP,SNMP和IPC. UDP,VPN和SONETD. PPTP,DMI和RC4答案:A。
26.在Windows 2000中可以察看开放端口情况的是:A. nbtstatB. netC. net showD. netstat答案:D。
27.SMTP连接服务器使用端口A. 21B. 25C. 80D. 110答案:选项B。
28.在计算机中心,下列哪一项是磁介质上信息擦除的最彻底形式?A. 清除B. 净化C. 删除D. 破坏29.以下哪一种算法产生最长的密钥?A. Diffe-HellmanB. DESC. IDEAD. RSA答案:D。
30.下面哪一种风险对电子商务系统来说是特殊的?A. 服务中断B. 应用程序系统欺骗C. 未授权的信息泄漏D. 确认信息发送错误答案:D。
31.以下哪一项不属于恶意代码?A. 病毒B. 蠕虫C. 宏D. 特洛伊木马答案:C。
32.下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:A. 风险过程B. 保证过程C. 工程过程D. 评估过程答案:D33.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?A. 公安部B. 国家保密局C. 信息产业部D. 国家密码管理委员会办公室答案:B。
34.为了保护DNS的区域传送(zone transfer),你应该配置防火墙以阻止1. UDP2. TCP3. 534. 52A. 1,3B. 2,3C. 1,4D. 2,4答案:B。
35.在选择外部供货生产商时,评价标准按照重要性的排列顺序是:1. 供货商与信息系统部门的接近程度2. 供货商雇员的态度3. 供货商的信誉、专业知识、技术4. 供货商的财政状况和管理情况A. 4,3,1,2B. 3,4,2,1C. 3,2,4,1D. 1,2,3,4答案:B。
36.机构应该把信息系统安全看作:A. 业务中心B. 风险中心C. 业务促进因素D. 业务抑制因素答案:C。
37.输入控制的目的是确保:A. 对数据文件访问的授权B. 对程序文件访问的授权C. 完全性、准确性、以及更新的有效性D. 完全性、准确性、以及输入的有效性答案:选项D。
38.以下哪个针对访问控制的安全措施是最容易使用和管理的?A. 密码B. 加密标志C. 硬件加密D. 加密数据文件答案:C。
39.下面哪种通信协议可以利用IPSEC的安全功能?I. TCPII. UDPIII. FTPA. 只有IB. I 和IIC. II 和IIID. I II III答案:D。
40.以下哪一种模型用来对分级信息的保密性提供保护?A. Biba模型和Bell-LaPadula模型B. Bell-LaPadula模型和信息流模型C. Bell-LaPadula模型和Clark-Wilson模型D. Clark-Wilson模型和信息流模型答案:B。
41.下列哪一项能够提高网络的可用性?A. 数据冗余B. 链路冗余C. 软件冗余D. 电源冗余答案:选项B。
42.为了阻止网络假冒,最好的方法是通过使用以下哪一种技术?A. 回拨技术B. 呼叫转移技术C. 只采用文件加密D. 回拨技术加上数据加密答案:D。
43.一下那一项是基于一个大的整数很难分解成两个素数因数?A. ECCB. RSAC. DESD. Diffie-Hellman答案:B。
44.下面哪一项是对IDS的正确描述?A. 基于特征(Signature-based)的系统可以检测新的攻击类型B. 基于特征(Signature-based)的系统比基于行为(behavior-based)的系统产生更多的误报C. 基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配D. 基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报答案:D。
45.ISO 9000标准系列着重于以下哪一个方面?A. 产品B. 加工处理过程C. 原材料D. 生产厂家答案:B46.下列哪项是私有IP地址?A. 10.5.42.5B. 172.76.42.5C. 172.90.42.5D. 241.16.42.5答案:A47.以下哪一项是和电子邮件系统无关的?A. PEM(Privacy enhanced mail)B. PGP(Pretty good privacy)C. X.500D. X.400答案:C。
48.系统管理员属于A. 决策层B. 管理层C. 执行层D. 既可以划为管理层,又可以划为执行层答案:C。
49.为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时下面哪一项是最好的方法?A. 进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码B. 进行离职谈话,禁止员工账号,更改密码C. 让员工签署跨边界协议D. 列出员工在解聘前需要注意的所有责任答案:A。
50.职责分离是信息安全管理的一个基本概念。
其关键是权力不能过分集中在某一个人手中。
职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏。
当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背?A. 数据安全管理员B. 数据安全分析员C. 系统审核员D. 系统程序员答案:D。