2019年CISSP模拟试卷

CISSP认证考试（通信安全与网络安全）模拟试卷1(题后含答案及解析)题型有：1.1．Layer 2 of the OSI model has two sublayers. What are those sublayers, and what are two IEEE standards that describe technologies at that layer?A．LCL and MAC; IEEE 802.2 and 802.3B．LCL and MAC; IEEE 802.1 and 802.3C．Network and MAC; IEEE 802.1 and 802.3D．LLC and MAC; IEEE 802.2 and 802.3正确答案：D解析：D正确。

OSI模型的数据链路层(Data Link Layer)(即第2层)负责为数据包添加头和尾，为数据包可以转换为适合于局域网和广域网线路传输的二进制格式做准备。

第2层可以分为两个功能子层，上子层是逻辑链路控制(Logical Link Control，LLC)子层，并在IEEE 802．2规范中定义，它与数据链路层之上的网络层(NetworkLayer)通信。

LLC下面是介质访问控制层(Media Access Control，MAC)，它按物理层协议的要求描述了网络接口。

因此，这一层的规格取决于物理层的技术。

以太网的IEEE MAC格式是802．3，令牌环是802．5，无线LAN 是802．11，等等。

所以，当你看到对IEEE标准的引用时，如802．11或802．16，它指的是在协议堆栈中数据链路层中的MAC子层工作的协议。

A不正确。

因为LCL是一个干扰项。

数据链路层上的子层的名称首字母大写缩写形式是LLC，它代表逻辑链路控制。

通过提供多路复用和流量控制机制，LLC允许网络协议在多点网络中并存，并通过同一网络介质进行传输。

CISSP认证冲刺模拟试卷1. 下列哪一项不属于Fuzz 测试的特性A.主要针对软件漏洞或可靠性错误进行测试B.采用大量测试用例进行漏洞-相应测试C.一种试探性测试方法，没有任何理论依据D.利用构造畸形的输入数据引发被测试目标产生异常2.通过对称密码算法进行安全消息传输的必要条件是：A．在安全的传输信道上进行通信B．通讯双方通过某种方式，安全且秘密地共享密钥C．通讯双方使用不公开的加密算法D．通讯双方将传输的信息夹杂在无用信息中传输并提取3. 你来到服务器机房隔壁一间办公室，发现窗户坏了。

由于这不是你的办公室，你要求在这里办公的员工请维修工来把窗户修好。

你离开后，没有再过问这窗户的事情。

这件事的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响？A.如果窗户被修好，威胁真正的出现的可能性会增加B.如果窗户被修好，威胁真正的出现的可能性会保持不变C.如果窗户没被修好，威胁真正的出现的可能性会下降D.如果窗户没被修好，威胁真正的出现的可能性会增加4.AES 在抵抗差分密码分析及线性密码分析的能力比DES 更有效，已经替代DES 成为新的数据加密标准。

其算法的信息块长度和加密密钥是可变的，以下哪一种不是其可能的密钥长度？A．64bitB．128bitC．192bitD．256bit5.Alice 有一个消息M 通过密钥K2 生成一个密文E（K2，M）然后用K1 生成一个MAC 为C（K1，E（K2，M）），Alice 将密文和MAC 发送给Bob，Bob 用密钥K1 和密文生成一个MAC并和Alice 的MAC 比较，假如相同再用K2 解密Alice 发送的密文，这个过程可以提供什么安全服务？A．仅提供数字签名B．仅提供保密性C．仅提供不可否认性D．保密性和消息完整性6. 某单位想用防火墙对telnet 协议的命令进行限制，应选在什么类型的防火墙？A.包过滤技术B.应用代理技术C.状态检测技术D.NAT 技术7.时间戳的引入主要是为了防止：A．死锁B．丢失C．重放D．拥塞8.以下对于安全套接层（SSL）的说法正确的是：A．主要是使用对称密钥体制和X509 数字证书技术保护信息传输的机密性和完整性B．可以在网络层建立VPNC．主要适用于点对点之间的信息传输，常用WebServer 方式D．包含三个主要协议：AH、ESP、IKE9.下面哪一个情景属于身份鉴别（Authentication）过程？A．用户依照系统提示输入用户名和口令B．用户在网络上共享了自己编写的一份Office 文档，并设定哪些用户可以阅读，哪些用户可以修改C．用户使用加密软件对自己编写的Office 文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容D．某个人尝试登陆到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登陆过程纪录在系统日志中10.下列对Kerberos 协议特点描述不正确的是：A．协议采用单点登录技术，无法实现分布式网络环境下的认证B．协议与授权机制相结合，支持双向的身份认证C．只要用户拿到了TGT 并且该TGT 没有过期，就可以使用该TGT 通过TGS 完成到任一个服务器的认证而不必重新输入密码D．AS 和TGS 是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS 和TGS 的性能和安全11.TACACS+协议提供了下列哪一种访问控制机制？A．强制访问控制B．自主访问控制C．分布式访问控制D．集中式访问控制12,令牌（Tokens），智能卡及生物检测设备同时用于识别和鉴别，依据的是以下哪个原则？A．多因素鉴别原则B．双因素鉴别原则C．强制性鉴别原则D．自主性鉴别原则13.下列对密网功能描述不正确的是：A．可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击B．吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来C．可以进行攻击检测和实时报警D．可以对攻击活动进行监视、检测和分析14.安全审计是对系统活动和记录的独立检查和验证，以下哪一项不是审计系统的作用：A．辅助辨识和分析未经授权的活动或攻击B．对与已建立的安全策略的一致性进行核查C．及时阻断违反安全策略的访问D．帮助发现需要改进的安全控制措施15.UDP 需要使用_______地址，来给相应的应用程序发送用户数据报。

1．美国的关键信息基础设施(critical Information Infrastructure，CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括：A．这些行业都关系到国计民生，对经济运行和国家安全影响深远B．这些行业都是信息化应用广泛的领域C.这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出D．这些行业发生信息安全事件，会造成广泛而严重的损失2．关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：A．2001-2002 年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构B．2003-2005 年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27 号文件)并颁布了国家信息安全战略C．2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成功&D．2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈出了坚实步伐3．依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是：A、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的4．以下哪一项是数据完整性得到保护的例子?A．某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B．在提款过程中ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作&C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看5.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。

CISSP认证考试模拟试卷3(题后含答案及解析) 题型有：1.1．L2TP 是为了通过什么协议实现？A．PPPB．PCP正确答案：A2．对硬盘记忆取证之前，要考虑？A．是否有更多证据需要收集，扩展收集范围B．拆下硬盘，以及所有可以启动的组件C．进行HASH 散列映像正确答案：C3．任命安全隐私管CPO，第一步是：A．法律法规，合规性B．收集信息正确答案：B解析：收集信息包括识别法律法规4．杀毒软件匹配内部已知规则，问是哪种？A．基于签名B．行为正确答案：A5．使用是在CMMI 的第二个阶段？A．不可预测B．可重复C．可定义D．可管理正确答案：B6．CC 对一个产品实施认证是为了证明这个产品对组织的作用：A．TOEB．STC．组织策略安全．正确答案：B7．如何证明参加了DRP 培训：A．通过参加一次真正的DRP 来验证．B．参与者明确了在DRP 中角色和与他人互动的流程正确答案：B8．说要变更数据中心方案，最重要的是什么A．DRP 放在项目的最后去考虑B．只有一个出入口C．可适应性正确答案：C9．学生在家访问大学的资源，要怎么实施最易于部署/省钱A．VPN+IPSECB．家用VPN 路由正确答案：A10．问了一个同步令牌和异步令牌A．同步令牌根据时间B．异步令牌基于挑战值正确答案：A11．问选安全顾问，哪个在伦理上有问题A．一个有经验的顾问不选，选了个没经验的B．选用户推荐的顾问C．跟你私下有关系的，但是不合资质的顾问正确答案：C12．认证到认可是什么过程A．什么系统策略实施的过程B．管理层对确认风险正确答案：B13．情境题，一个公司规定“专利未发布前，知道此信息的员工不能买股票，除非已对公众公布”，次日，该公司在报纸上发布该消息，问员工能不能买股票A．可以买，得到管理层同意B．可以买，因为已经公布C．不可以买，管理层不同意D．不可以买，未公布公众正确答案：B14．CA 信息层次包含那个A．网络交叉协议B．X.509C．PKID．X.500正确答案：B15．关于网络层走什么数据的题A．端口筛选B．数据包筛选C．应用程序筛选正确答案：B16．RAID5 的最小化原理之类的，A．在其中一个驱动器插拉奇偶B．在所有驱动器插入奇偶正确答案：B17．消息加密，部分数据为已知常量，问可以使用什么攻击方式？A．已知明文攻击B．已知密码攻击C．密文攻击正确答案：A18．A和B互相交换公钥，B如何验证A？A．使用A 的公钥验证B．使用私钥去验证正确答案：B19．异步与同步密码之间的主要主别：A．异同采用的是计数B．同步采用的是同一天时间间隔，异步任何时间都可以C．同步采用的是60 分钟内的有效D．异步是基本挑战式的方式，同步是计时方式正确答案：D20．如果公司要在24 小时里恢复业务，应选择哪个灾备场所？A．热站点B．温站点C．冷站点正确答案：A21．互惠协议的特点？A．便于类似的组织进行灾备B．对于较复杂的系统容易进行测试C．对于较复杂的系统很难进行测试正确答案：A22．PADDING 技术使用在哪种密码上？A．块密码B．流密码正确答案：A23．应用开发架构项目团队在进行安全审查前首先要关注什么？A．了解行业内的标准B．了解政府目前发布的和即将发布的政策正确答案：A24．以下哪个会引起最严重的道德问题？A．一个CISSP 背书另一个CISSPB．一个CISSP 资助别人获得其他证书C．一个CISSP 讲师背书自己的学生D．一个CISSP 经理资助自己公司下属正确答案：C25．国际间通讯存的问题是什么？A．一个国家的加密技术在另一个国家可能无法解密B．法律规定国际通讯不能使用加密技术正确答案：A26．当在渗透测试期间发现了服务器可以使用任何账户进行特权操作，应该第一时间？A．记录问题报告管理层B．报告系统管理员正确答案：A27．在安全审计时发现服务器管理员没有经过培训，应该？A．审查所有培训文档B．审查人事招聘流程C．找有经验的管理员对服务器进行安全审查正确答案：C28．可重复使用是在CMMI 的哪个阶段？A．不可预测B．可重复正确答案：B。

CISP专业考试真题（第三套）1、从历演进来看，信息安全的的发展经历了多个阶段，其中有一个阶段的特点是，网络信息系统的逐步形成，信息安全注重保护信息是在存储、处理和传输过程中免授非授权访问，开始使用防火墙，防病毒、Pki和vpn等安全产品，这个阶段是（）A、通信安全阶段搭线窃听，密码学分析B、计算机安全阶段：非授权访问，恶意代码，弱口令C、信息系统安全阶段：网络入侵D、信息安全保障阶段黑客，恐怖分子C硬背2、随着信息技术的不断发展，信息系统的重要性也越来越突出，与此同时，发生的信息安全事件越来越多，综合分析，信息安全问题产生的根源，下面描述下正确的是A、信息系统自身存在脆弱性是根本原因。

信息系统越来越重要，同时自身开发，部署和使用过程中存在的脆弱性，导致了诸多安全事件发生，因此，杜绝脆弱性的存在是解决信息安全问题的根本所在B、信息系统面临诸多黑客的威胁，包括恶意攻击者和恶作剧攻击者，信息系统的应用越来越广，接触信息系统的人越多信息系统越可能遭受攻击，因此，避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题C、信息安全问题产生的根源要从内因和外内两个方面分析，因为信息系统自身有脆弱性，同是外部又有威胁，从而导致信息系统可能发生安全事件。

因此要防范信息安全风险，应该从内外因同是着手D、信息安全问题的根本原因是内因、外因、人三个因素的综合作用，内因和外因都可能导致安全事件的发生，但最重要的还是人的因素，外部攻击者和内部人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生，因此对人这个因素的防范是安全工作的重点。

C硬背3、某学员在学习国家标准《信息系统安全保障评估框架第一部分，简单和一般模型》（GB20274.1-2006）后绘制了—张简化的信息系统安全保障模型图，请为空白处选择合适选项A、安全保障（方针和组织）B、安全防御（技术和管理）C、深度防御（策略、防御、检测、响应）D、保障要素（技术、管理、工程、人员）D硬背4、目前信息系统面临外部攻击者的恶意攻击威胁，从威胁能力和掌握资源分，这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分，下列哪个属于组织威胁的是（）A、为恶意作剧，实现自我挑战的娱乐型黑客B、实施犯罪、获取非法经济利益的网络犯罪集团C、搜集政治、军事、经济等情报机构D、巩固战略优势、执行军事任务。

CISSP认证考试（密码学）模拟试卷1(题后含答案及解析)题型有：1.1．There are several components involved with steganography. Which of the following refers to a file that has hidden information in it?A．Stego-mediumB．Concealment cipherC．CarrierD．Payload正确答案：C解析：C正确。

隐写术(steganography)是把数据藏于另外一类媒介中，从而达到隐藏该数据的真实存在的方法。

应该只有发送者和接收者才能够看见这个消息，因为这个消息被秘密地藏于图形、波形文件、文档和其他类型的媒介中。

这个消息并不一定要求被加密，而只是被隐藏起来。

加密后的消息会引起坏人的注意，因为它向坏人昭示着“这是敏感信息”。

而隐藏于一幅图画中的消息却不会引起这样的注意，即使嵌入这张图片的是完全相同的密信。

隐写术是一种利用隐匿的安全类型。

它所包含的组成部分有载体(carrier)、隐秘媒介(stego-medium)和有效载荷(payload)。

载体是指隐藏信息的信号、数据流或者文件。

换句话说，载体负载着有效载荷。

A不正确。

因为隐秘媒介是隐写术用以隐藏信息的媒介。

如果这个消息藏于一个图形中，那么隐秘媒介便可能是JPEG或者TIFF格式的文件。

如果这个消息被嵌入到一个Word文档中，那么隐秘媒介便是Word文档。

隐秘媒介可以是图形、波形文件、文档或其他类型的媒介。

B不正确。

因为隐藏密码是在信息中放置信息，它是隐写术方法的一种。

隐藏密码是一种把密码信息隐藏于我们周围所熟悉的事物中的方法。

这个答案并没有说明隐写术的特定组成部分，只是说出了隐写术的一个具体类型。

D不正确。

因为载荷是指通过隐写术进行隐藏和传输的信息。

载荷是发送者希望保密的实际信息。

知识模块：密码学2．Which of the following correctly describes the relationship between SSL and TLS?A．TLS is the open-community version of SSL.B．SSL can be modified by developers to expand the protocol’s capabilities.C．TLS is a proprietary protocol, while SSL is an open-community protocol.D．SSL is more extensible and backward compatible with TLS.正确答案：A解析：A正确。

2019CSP第一轮认证模拟题选手注意：●请在答题纸上作答，写在试题纸上一律无效。

●不得使用任何电子设备（如计算器、手机、电子词典等）或查阅任何书籍资料●今年第一轮认证考试题型：单选题30分，程序阅读（对错题+单选题共40分），程序完成题（单选题，30分）一、单项选择题（共20题，每题1.5分，共计30分；每题且仅有一个正确选项）1．计算机如果缺少（），将无法正常启动。

A．内存B．鼠标C．U盘D．摄像头2．一片容量为8GB 的SD 卡能存储大约（）张大小为2MB 的数码照片。

A．1600 B．2000 C．4000 D．160003.有人认为，在个人电脑送修前，将文件放入回收站中就是已经将其删除了。

这种想法是（）。

A．正确的，将文件放入回收站意味着彻底删除、无法恢复B．不正确的，只有将回收站清空后，才意味着彻底删除、无法恢复C．不正确的，即使将回收站清空，文件只是被标记为删除，仍可能通过恢复软件找回D．不正确的，只要在硬盘上出现过的文件，永远不可能被彻底删除4．主存储器的存取速度比中央处理器（CPU）的工作速度慢得多，从而使得后者的效率受到影响。

而根据局部性原理，CPU所访问的存储单元通常都趋于聚集在一个较小的连续区域中。

于是，为了提高系统整体的执行效率，在CPU中引入了（）。

A.寄存器B.高速缓存C.闪存D.外存5．十进制数0.5与八进制数( )值相等。

A．0.8 B．0.5 C．0.1 D．0.46．计算机用户可以根据需要安装软件，那么计算机的软件系统一般分为（）A．系统软件和应用软件B．管理软件和控制软件C．军用软件和民用软件D．高级软件和一般软件7．关于互联网，下面的说法哪一个是正确的( )。

A．新一代互联网使用的IPv6标准是IPv5标准的升级与补充。

B．互联网的入网主机如果有了域名就不再需要IP地址。

C．互联网的基础协议为TCP/IP协议。

D．互联网上所有可下载的软件及数据资源都是可以合法免费使用的8．关于程序设计语言，下面哪个说法是正确的：B．高级语言开发的程序不能使用在低层次的硬件系统（如：自控机床）或低端手机上。

2019微软认证考试精选模拟题及答案（1.17）A.软驱属于主机，软磁盘本身属于外部设备B.硬盘和显示器都是计算机的外部设备C.键盘和鼠标器均为输入设备D.“裸机”是指不含任何软件系统的计算机【准确答案：】BCD2.现在计算机正朝两极方向发展，这两极是______.A.专用机;B.微型机;C.巨型机;D.通用机【准确答案：】BC3.关于磁盘下面说法________是准确的。

A.软磁盘携带方便，新盘使用前必须实行格式化B.3.5英寸软盘的写保护块遮住方孔时，只能读、不能写C.硬磁盘不要轻易格式化，每次格式化之前，必须先实行分区D.硬磁盘的盘片与驱动器密封为一个整体，不易损坏，寿命长【准确答案：】AD4.______是计算机系统软件的两个重要特点。

A.通用性;B.可卸载性;C.可扩充性;D.基础性【准确答案：】AD5.关于计算机系统组成的知识，准确的说法是________.A.软盘驱动器属于主机，软盘属于外设B.键盘和显示器都是计算机的I/O设备C.键盘和鼠标均为输入设备D.软盘存储器由软盘、软盘驱动器和软盘驱动卡三部分组成【准确答案：】BCD6.下列软件中具有通用性的是______.A.语言处理系统B.操作系统C.用户程序D.信息管理系统【准确答案：】AB7.以下语言中属于高级语言的是________.A.DelphiB.机器语言C.汇编语言D.C++【准确答案：】AD8.以下属于文字处理软件的有________.A.WordB.WPSC.ExcelD.PowerPoint【准确答案：】AB9.关于计算机语言的描述，不准确的是______.A.;机器语言的语句全部由0和1组成，指令代码短，执行速度快B.;机器语言因为是面向机器的低级语言，所以执行速度慢C.;汇编语言已将机器语言符号化，所以它与机器无关D.;汇编语言比机器语言执行速度快【准确答案：】BCD10.微型机的闪存与硬盘相比较，硬盘的特点是________.A.存储容量大B.便于携带C.价格高D.外形美观【准确答案：】AC。

2019CCF非专业级别软件能力认证第一轮（CSP-S）提高级C++语言试题A卷（B卷与A卷仅顺序不同）认证时间：2019年10月19日考生注意事项：l 试题纸共有10页，答题纸共有1页，满分100分。

请在答题纸上作答，写在试题纸上的一律无效l 不得使用任何电子设备（如计算器、手机、电子词典等）或查阅任何书籍资料。

一、单项选择题（共15题，每题2分，共计30分；每题有且仅有一个正确选项）1. 若有定义：int a=7; float x=2.5, y=4.7；则表达式x+a%3*(int)(x+y)%2的值是：（）A.0.000000B.2.750000C.2.500000D.3.500000答案：D解析：x+y转整数等于7，7%3*7%2=1，再加x，答案为3.5。

2. 下列属于图像文件格式的有（）A.WMVB.MPEGC.JPEGD.AVI答案：C解析：WMV是音频格式、MPEG、AVI是视频格式、JPEG是图像格式。

3. 二进制数11 1011 1001 0111 和01 0110 1110 1011 进行逻辑或运算的结果是（）A.11 1111 1101B.11 1111 1111 1101C.10 1111 1111 1111D.11 1111 1111 1111答案：D解析：将两个二进制数（右）对齐，逐位做或运算，每一位如果有1则或运算结果为1，14位进行或运算计算结果均为1，选D。

4. 编译器的功能是（）A. 将源程序重新组合B. 将一种语言（通常是高级语言）翻译成另一种语言（通常是低级语言）C. 将低级语言翻译成高级语言D. 将一种编程语言翻译成自然语言答案：B解析：编译器将高级语言（例如C++，方便人创作）翻译成低级语言（机器语言，方便机器执行）。

5. 设变量x为float型且已赋值，则以下语句中能将x中的数值保留到小数点后两位，并将第三位四舍五入的是（）A.X=(x*100+0.5)/100.0B.x=(int)(x*100+0.5)/100.0;C.x=(x/100+0.5)*100.0D.x=x*100+0.5/100.0;答案：B解析：x的类型是float, 所以（x*100+0.5）也是float, 也就是有小数位，需要先转成int, 也就是B选项。

CISSP认证考试（访问控制）模拟试卷1(题后含答案及解析)题型有：1.1．Which of the following does not correctly describe a directory service?A．It manages objects within a directory by using namespaces.B．It enforces security policy by carrying out access control and identity management functions.C．It assigns namespaces to each object in databases that are based on the X.509 standard and are accessed by LDAP.D．It allows an administrator to configure and manage how identification takes place within the network.正确答案：C解析：C正确。

大多数企业都有包含公司网络资源和用户信息的某种类型的目录。

基于X．500标准(不是X．509)和一种协议类型，即轻量目录访问协议(Lightweight Directory Access Protocol，LDAP)，大多数目录都遵循分层的数据库结构，允许主体和应用程序与这个目录进行交互。

应用程序可以通过向目录提出一个LDAP请求来获得某一特定用户的信息；用户也可以使用相似请求获得某个特定资源的信息。

目录服务基于X．500标准，给数据库中的每个客体分配一个LDAP可访问的可分辨名称(distinguished names)。

每一个可分辨名称都代表着某个特定客体的属性的集合，并作为一个条目存储在目录中。

A不正确。

因为层次数据库中的客体都是通过日录服务进行管理的。

CISSP认证考试模拟试卷1(题后含答案及解析) 题型有：1.1．状态检测防火墙什么时候实施规则变更备份？A．防火墙变更之前B．防火墙变更之后C．作为完全备份的一部分D．作为增量备份的一部分正确答案：B2．FTP 的风险？A．没有目标认证B．明文传输正确答案：B3．VOIP 在语音通信过程当中，弱点?A．没有目标认证B．没有源认证正确答案：B假如：T 为IDS 控制成本费用200000 美元 E 为每年恢复数据节省费用50000 美元R 是为实施控制措施之前的每年恢复费用100000 美元4．问：实际投资回报为：A．-50000B．-100000C．100000D．150000正确答案：A解析：投资回报就是控制前-控制后, 投资回报负值就是省了多少，正值就是赚了多少。

5．问年度预期损失ALE 怎么计算：A．(R+E)/TB．(R-E)+TC．(R-T)*ED．T/(R-E)正确答案：B6．ipsec 隧道模式下的端到端加密，ip 包头A．加密，数据不加密B．和数据一起加密C．不加密，数据加密正确答案：B7．实施一个安全计划，最重要的是：A．获取安全计划所需的资源B．与高层管理者访谈正确答案：B8．安全要求属于：A．ST 安全目标B．PPC．TOE正确答案：B9．TOE 属于A．CCB．可信计算机正确答案：A10．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的？A．BIAB．风险管理C．SLA正确答案：C11．公司运维外包服务，问什么时候跟服务提供商确定安全要求？A．合同谈判B．合同定义正确答案：B12．外部审计师违反了公司安全要求，问惩罚判定来源：A．公司安全要求B．外部审计公司要求C．双方协议正确答案：C13．公司实施一个纵深防御政策，问由保护逐级增加的层次设计？A．边界场地出入口办公区计算机机房B．围墙场地出入口计算机机房办公区域正确答案：A14．SSL 协议双向认证，部分使用，除了客户端验证服务器，还有？A．服务器对客户端自我验证B．客户端对服务器自我验证正确答案：A15．实现机密性，使用以下哪个算法？A．DESB．SHA-1C．AESD．RSA正确答案：C解析：DES不安全，SHA是散列函数，RSA速度慢，当然前提这道题目得有条件，如加密消息时。

CISP模拟考试试题及答案一、选择题1. 信息安全的核心目标是什么？A. 保密性B. 完整性C. 可用性D. 以上都是答案：D2. 以下哪项不属于常见的网络攻击类型？A. 拒绝服务攻击（DoS）B. 钓鱼攻击C. 社交工程D. 硬件故障答案：D3. 在网络安全中，什么是“三要素”？A. 认证、授权、审计B. 认证、授权、加密C. 加密、授权、审计D. 认证、加密、审计答案：A二、判断题1. 所有加密算法的安全性都取决于密钥的长度。

（）答案：错误2. 定期更改密码可以提高账户的安全性。

（）答案：正确3. 网络防火墙可以防止所有类型的网络攻击。

（）答案：错误三、简答题1. 简述什么是VPN，以及它如何提高网络安全性。

答案：VPN（虚拟私人网络）是一种技术，允许用户通过不安全的网络（如互联网）安全地连接到私有网络。

它通过加密用户的数据来提高网络安全性，确保数据在传输过程中不被窃听或篡改。

2. 描述什么是跨站脚本攻击（XSS）以及如何防范。

答案：跨站脚本攻击（XSS）是一种网络攻击，攻击者将恶意脚本注入到其他用户会浏览的页面中。

防范XSS的方法包括：对用户输入进行验证和清理，使用内容安全策略（CSP），以及在服务器端进行适当的输出编码。

四、案例分析题某公司最近遭受了一次网络攻击，攻击者通过社会工程手段获取了员工的账户密码。

请分析可能的原因，并提出改进措施。

答案要点：- 可能原因：员工安全意识不足，未能识别社会工程攻击；公司未能实施有效的安全培训和意识提升计划。

- 改进措施：加强员工的安全培训，提高对钓鱼邮件、电话诈骗等社会工程攻击的识别能力；实施多因素认证，增加账户安全性；定期审查和更新安全策略和程序。

五、论述题论述信息安全管理体系（ISMS）的重要性，并说明如何建立一个有效的ISMS。

答案要点：- 信息安全管理体系（ISMS）的重要性：确保组织的信息资产得到适当保护，降低信息安全风险，符合法律法规要求，提高组织声誉和客户信任。

CISSP认证考试模拟试卷2(题后含答案及解析) 题型有：1.1．使用SAML 的特点：A．扩展身份认证B．强规则执行正确答案：A2．反垃圾邮件机制，通过检查邮件头部以及相关内容有效性，问使用下面哪个机制?A．SMTP 黑名单B．邮件头分析正确答案：B3．光盘介质使用哪种方式处理更彻底？A．破坏B．消磁正确答案：A4．消息加密，部分数据为已知常量，问可以使用什么攻击方式？A．已知明文攻击B．已知密码攻击C．密文攻击正确答案：A访问控制表，BLP 模型：谁能够访问3级文档；类似表格：5．能够拥有最小写权限的用户是？A．PublicB．SensitiveC．SecretD．Top Secret正确答案：D6．下面哪个是正确的？A．C和D能够共享文件1和2B．A和B能够共享文件3和4C．B和C能够共享文件2和3D．A和C能够共享文件1和2正确答案：A7．哪一个是防止电子邮件欺骗的最有效手段:A．加密签名B．实施主机IDSC．反垃圾邮件过滤正确答案：C8．应急响应的最后阶段：A．调查B．遏制C．分析D．教育正确答案：D9．还有一道场景题，好像是公司新来了个安全顾问，打算提高公司的安全防护水平，但是公司预算有限。

那么他首先打算怎么做？A．和公司高层开会讨论B．设置安全基线C．做预算表，考虑安全和成本的平衡D．制定公司安全策略正确答案：A一个安全工程师被指派去处理公司正在遭受的flood 攻击。

公司有一个提供电子商务服务的网站。

安全策略要求公司可以应对各种攻击，还要保证网站的可用性。

10．问：安全策略最应该关注的是？A．花更多的钱在互联网专有线路上B．抵抗僵尸网络的持续攻击C．每天备份网站内容正确答案：B11．攻击者可能带来的威胁是？A．忘了B．通过威胁公司采取拒绝服务攻击勒索钱财C．使远程邮件服务器无法工作正确答案：B12．操作系统中，父进程创建子进程最需要关注的安全问题是？A．开放设计B．TOUC．TOC正确答案：B13．黑客使用硬件密钥存储比软件密钥存储的优势是？A．物理性弱点多B．可存储数据文件C．可将数据传输到webD．可针对更多人正确答案：D14．一下哪个用来区分多实例A．聚合B．推理C．安全级别正确答案：C15．某公司想做系统配置cms 和软件配置，大概是统一配置管理。

CISSP认证考试（安全体系结构和设计）模拟试卷1(题后含答案及解析)题型有：1.1．Lacy’s manager has tasked her with researching an intrusion detection system for a new dispatching center. Lacy identifies the top five products and compares their ratings. Which of the following are the evaluation criteria most in use today for these types of purposes?A．ITSECB．Common CriteriaC．Red BookD．Orange Book正确答案：B解析：B正确。

通用准则(Common Criteria)创建于20世纪90年代早期，它结合了可信计算机系统评测标准(Trusted Computer System Evaluation Criteria，TCSEC)和信息技术安全评估标准(Information Technology Security Evaluation Criteria，ITSEC)的优点，同时减少了它们的不足。

这些评估标准比TCSEC更灵活、比ITSEC更通俗易懂。

通用准则是全球公认的，它有助于降低等级的复杂性，减少对不同评估方案中不同等级的定义和意义的理解，从而有效地帮助了消费者。

这对生产商也大有裨益，因为现在如果他们希望在国际上销售产品，便可以只根据一套具体要求来构建这些产品，而无须同时满足不同规则和要求的几个不同的等级。

A不正确。

因为ITSEC或信息技术安全评价标准应用不是最为广泛。

ITSEC是许多欧洲国家建立计算机系统和产品的安全属性单一评价标准的首次尝试。

此外，ITSEC在评价时把功能和保证分割开来，并对它们分别制定了一个单独的评价等级。

CISSP认证考试（安全运营）模拟试卷1(题后含答案及解析)题型有：1.1．Which of the following is not a common component of configuration management change control steps?A．Tested and presentedB．Service-level agreement approvalC．Report change to managementD．Approval of the change正确答案：B解析：B正确。

应该建立一个结构良好的变更管理流程来帮助员工适应多种不同类型的环境变化。

这个过程应该体现在变更控制策略中。

尽管变更的类型各不相同，但一个标准的过程列表能有助于把这个流程置于可控范围内，并确保变更以一个可以预见的方式进行。

变更控制策略应该包括请求变更的发生、批准变更、变更文档化、测试和呈现、实施，以及把变更报告提交给管理层等流程。

配置管理变更控制过程通常对服务等级协议的批准无效。

A不正确。

因为一个标准的变更控制策略应该包含测试和呈现。

所有变更必须经过全面测试以发现任何不可以预见的结果。

根据变更的严重程度和公司的组织结构，变更及其实施可能需要被提交给变更控制委员会。

这有助于表现变更的不同目的和结果，以及可能的分支。

C不正确。

因为把变更报告提交给管理层的流程应该包含在标准的变更控制策略中。

在变更得以实施之后，应该向管理层提交一个总结这次变更的完整报告。

这样的报告可以定期提交，从而使得管理层实时了解并继续给予支持。

D不正确。

因为获取变更批准的流程应该包含在标准的变更控制策略中。

请求变更的人必须陈述理由，并清楚地阐述变更的好处和可能产生的失误。

有时请求者可能被要求进行更多的研究并提供更多的信息之后才被批准变更。

知识模块：安全运营2．A change management process should include a number of procedures. Which of the following incorrectly describes a characteristic or component of a change control policy?A．Changes that are unanimously approved by the change control committee must be tested to uncover any unforeseen results.B．Changes approved by the change control committee should be entered into a change log.C．A schedule that outlines the projected phases of the change should be developed.D．An individual or group should be responsible for approving proposed changes.正确答案：A解析：A正确。

2019年交大慧谷CISSP备考模拟试卷1.下列那一项能保证发送者的真实性和e-mail的机密性？A. 用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息散列(hash)B. 发送者对消息进行数字签名然后用发送者的私钥加密消息散列(hash)C. 用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息。

D. 用发送者的私钥加密消息，然后用接收者的公钥加密消息散列(hash)答案：C2.下列哪一项准确地描述了可信计算基（TCB）？A．TCB只作用于固件（Firmware）B．TCB描述了一个系统提供的安全级别C．TCB描述了一个系统内部的保护机制D．TCB通过安全标签来表示数据的敏感性答案：C13.下列对虚拟专用网描述正确的是A、通过不同的网络来构建的专用网络B、只有使用PPTP才可以建立企业专用网C、虚拟专网只有运营商拥有D、只有使用IPSEC协议才能建立真正的VPN答案：A4.安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的“简单安全规则”？A．Biba模型中的不允许向上写B．Biba模型中的不允许向下读C．Bell-LaPadula模型中的不允许向下写D．Bell-LaPadula模型中的不允许向上读答案：D5.为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪一项最好地描述了星或（*-）完整性原则？2A．Bell-LaPadula模型中的不允许向下写B．Bell-LaPadula模型中的不允许向上读C．Biba模型中的不允许向上写D．Biba模型中的不允许向下读答案：C6.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？A．Bell-LaPadula模型B．Biba模型C．信息流模型D．Clark-Wilson模型答案：D7.作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。

CISSP认证考试模拟题2019年(4)(总分1000,考试时间360分钟)单选题1. 安全控制有哪些？A. 技术、管理、运维B. 技术、管理、运营2. 说系统已经被入侵了，问如果排除大量的系统文件找到被篡改的文件？A. 在原系统中对系统文件进行散列B. 在一个同等配置的干净系统中对系统文件进行散列然后进行对比3. 问PCIDSS 哪项是正确的A. 定期进行更新B. 每六个月进行更新C. 按行业要求更新4. 问电子卡的优点是什么？A. 可以提供报警B. 提供和锁一样的功能5. 下面哪一个违背了伦理道德A. 参加竞争对手免费的义演活动之类的B. 在面试时用过期的证书C. 在线证书论证过期不进行论证之类的D. 隐瞒犯罪记录6. 有个服务器一直没有补丁更新，因为要求他的可用性，问怎么解决这个问题？A. 更新补丁的记录文档B. 在防火墙的规则里进行限制端口7. 任命安全隐私管CPO，第一步是：A. 法律、法规，合规性B. 收集信息8. 说有台主机已经被入侵，问怎么办？A. 上入侵检测系统B. 把该系统从可信任里隔离C. 除了进行个人认证也进行系统认证9. 审计师发现系统管理员未经培训就上岗，应该怎么做？A. 报告管理层B. 更换有经验的管理员先审计一下系统10. 每次登陆都需要进行身份验证的是哪个？A. ChapB. papC. ESP11. SDLC 中，那个过程进行安全鉴别(identification)？A. 实施中B. 维护和测试C. 启动12. 出口时设置智能卡读卡器的作用：A. 与进入的日志匹配B. 防止尾随C. 防止时间卡攻击13. 某信息中心，既没有监控也没有报警措施，容易被攻击者实施尾随，下列措施最有效的解决此问题：A. 捕人陷阱B. 保安14. 哪一个能供提供最有效的实时的容错机制：A. 备份B. 独立的运行相同的服务C. 回滚15. 任何改动都会自动生成版本号，是配置管理系统是变更管理的什么手段？A. 报告B. 输出C. 程序D. 日志16. 增强了输入数据的完整性：A. 加密B. 日志C. 验证有效地输入范围17. 法律、法规、合规是用来指导生成：A. 策略B. 过程C. 基线D. 指南18. 说审计员发现某个端口被设置为混杂模式，证明发生了什么攻击？A. 监听B. SYN19. 哪个可以通过进行功率差分分析进行攻击？A. 智能卡B. 网卡20. 安全人员取证，恢复了数据，为什么还要恢复时间戳？A. 记录入侵时间B. 关联一些事情21. 某公司人员给网上银行服务台打电话，告诉服务台人员，他向一个自称是银行服务台人员透漏了密码，服务台人员检查通信记录，没有这个人。

2019CCF非专业级别软件能力认证第一轮（CSP-S）提高级C++语言试题A卷（B卷与A卷仅顺序不同）认证时间：2019年10月19日考生注意事项：l 试题纸共有10页，答题纸共有1页，满分100分。

请在答题纸上作答，写在试题纸上的一律无效l 不得使用任何电子设备（如计算器、手机、电子词典等）或查阅任何书籍资料。

一、单项选择题（共15题，每题2分，共计30分；每题有且仅有一个正确选项）1. 若有定义：int a=7; float x=2.5, y=4.7；则表达式x+a%3*(int)(x+y)%2的值是：（）A.0.000000B.2.750000C.2.500000D.3.500000答案：D解析：x+y转整数等于7，7%3*7%2=1，再加x，答案为3.5。

2. 下列属于图像文件格式的有（）A.WMVB.MPEGC.JPEGD.AVI答案：C解析：WMV是音频格式、MPEG、AVI是视频格式、JPEG是图像格式。

3. 二进制数11 1011 1001 0111 和01 0110 1110 1011 进行逻辑或运算的结果是（）A.11 1111 1101B.11 1111 1111 1101C.10 1111 1111 1111D.11 1111 1111 1111答案：D解析：将两个二进制数（右）对齐，逐位做或运算，每一位如果有1则或运算结果为1，14位进行或运算计算结果均为1，选D。

4. 编译器的功能是（）A. 将源程序重新组合B. 将一种语言（通常是高级语言）翻译成另一种语言（通常是低级语言）C. 将低级语言翻译成高级语言D. 将一种编程语言翻译成自然语言答案：B解析：编译器将高级语言（例如C++，方便人创作）翻译成低级语言（机器语言，方便机器执行）。

5. 设变量x为float型且已赋值，则以下语句中能将x中的数值保留到小数点后两位，并将第三位四舍五入的是（）A.X=(x*100+0.5)/100.0B.x=(int)(x*100+0.5)/100.0;C.x=(x/100+0.5)*100.0D.x=x*100+0.5/100.0;答案：B解析：x的类型是float, 所以（x*100+0.5）也是float, 也就是有小数位，需要先转成int, 也就是B选项。