CISP试题及答案-四套题

1 信息安全发展各阶段中，下面哪一项是信息安全所面临的主要威胁
A病毒
B非法访问
C信息泄漏
D---口令
2.关于信息保障技术框架IATF，下列说法错误的是
A IATF强调深度防御，关注本地计算环境，区域边境，网络和基础设施，支撑性基础设施等多个领域的安全保障
B IATF强调深度防御，针对信息系统采取多重防护，实现组织的业务安全运作。

C IATF强调从技术，管理和人等多个角度来保障信息系统的安全
D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全
3.美国国家安全局的《信息保障技术框架》IATF，在描述信息系统的安全需求时将信息系统分为
A 内网和外网两个部分
B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分
C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分
D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别
4.下面那一项表示了信息不被非法篡改的属性
A 可生存性
B 完整性
C 准确性
D 参考完整性
5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是
A 信息系统安全保障不仅涉及安全技术，还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全
B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心
C 是一种通过客观保证向信息系统评估者提供主观信心的活动
D
6、一下那些不属于现代密码学研究
A Enigma密码机的分析频率
B --
C diffie-herrman密码交换
D 查分分析和线性分析
7.常见密码系统包含的元素是：
A. 明文、密文、信道、加密算法、解密算法
B. 明文，摘要，信道，加密算法，解密算法
C. 明文、密文、密钥、加密算法、解密算法
D. 消息、密文、信道、加密算法、解密算法
8.公钥密码的应用不包括：
A. 数字签名
B. 非安全信道的密钥交换
C. 消息认证码
D. 身份认证
9.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换？
A. DSS
B. Diffie-Hellman
C. RSA
D. AES
10.目前对MD5，SHAI算法的攻击是指：
A. 能够构造出两个不同的消息，这两个消息产生了相同的消息摘要
B. 对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要
C. 对于一个已知的消息摘要，能够恢复其原始消息
D. 对于一个已知的消息，能够构造一个不同的消息摘要，也能通过验证。

11 下列对强制访问控制描述不正确的是
A 主题对客体的所有访问
B 强制访问控制时，主体和客体分配一个安全属性
C 客体的创建者无权控制客体的访问权限
D 强制访问控制不可与自主访问控制访客使用
12一下那些模型关注与信息安全的完整性
A BIBA模型和BELL-LAPADULA模型
Ｂbell-lapadula模型和chians well模型
C Biba模型和ciark-wllear
D ciark-wllear模型和chians well模型
13 按照BLP模型规则，以下哪种访问才能被授权
A Bob的安全级是机密，文件的安全级是机密，Bob请求写该文件
B Bob的安全级是机密，文件的安全级是机密，Bob请求读该文件
C Alice的安全级是机密，文件的安全级是机密，Alice请求写该文件
D Alice的安全级是机密，文件的安全级是机密，Alice请求读该文件
14.在一个使用Chinese Wall 模型建立访问控制的消息系统中，————
A. 只有访问了W之后，才可以访问X
B. 只有访问了W之后，才可以访问Y和Z中的一个
C. 无论是否访问W，都只能访问Y和Z中的一个
D. 无论是否访问W，都不能访问Y或Z
15.以下关于RBAC模型的说法正确的是：
A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限
B.一个用户必须扮演并激活某种角色，才能对一个对象进行访问或执行某种操作
C.在该模型中，每个用户只能有一个角色
D.在该模型中，权限与用户关联，用户与角色关联
16.以下对Kerberos 协议过程说法正确的是：
A. 协议可以分为两个步骤：一是用户身份鉴别；二是获取请求服务
B. 协助可以分为两个步骤：一是获得票据许可票据；二是获取请求服务
C. 协议可以分为三个步骤：一是用户身份鉴别；二是获得票据许可票据；三是获得服务许可票据
D. 协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务
17.基于生物特征的鉴别系统一般使用哪个参数来判断系统的准确度？
A.错误拒绝率
B.错误监测率
C.交叉错判率
D.错误接受率
18.下列对密网功能描述不正确的是：
A.可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击
B.吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来
C.可以进行攻击检测和实时报警
D.可以对攻击活动进行监视、检测和分析
19.下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一？
A.数据完整性
B.数据保密性
C.数字签名
D.抗抵赖
20.以下哪种方法不能有效保障WLN的安全性
A 禁止默认的服务SSID
B 禁止SSID广播
C 启用终端与AP的双面认证
D 启用无线AP的—认证测试
21.简单包过滤防火墙主要工作在：
A. 链接层/网络层
B. 网络层/传输层
C. 应用层
D. 回话层
22.以下哪一项不是应用层防火墙的特点？
A.更有效的阻止应用层攻击
B.工作在OSI模型的第七层
C.速度快且对用户透明
D.比较容易进行审计
23.下面哪一项不是IDS的主要功能？
A.监控和分析用户系统活动
B.统计分析异常活动模式
C.对被破坏的数据进行修复
D.识别活动模式以反映已知攻击
24.有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的XX 来发现入侵事件，这种机制称作：
A.异常检测
B.特征检测
C.差距分析
D.比对分析
25.以下关于Linux用户和组的描述不正确的是：
A.在linux中，每一个文件和程序都归属于一个特定的“用户”
B.系统中的每一个用户都必须至少属于一个用户组
C.用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组
D.Root是系统的超级用户，无论是否文件和程序的所有者都且有访问权限
26.以下关于linux超级权限的说明，不正确的是：
A. 一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户来操作完成
B. 普通用户可以通过su和sudo来获取系统的超级权限
C. 对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才能进行
D. Root是系统的超级用户，无论是否为文件和程序的所有者都只有访问权限
27.在windows 操作系统中，欲限制用户无效登录的次数，应当怎么做？
A. 在“本地安全设置”中对“密码策略”进行设置
B. 在“本地安全设置”中对“账户锁定策略”进行设置
C. 在“本地安全设置”中对“审核策略”进行设置
D. 在“本地安全设置”中对“用户权利指派”进行设置
28.以下对windows系统日志的描述错误的是：
A. Windows 系统默认有三个日志，系统日志、应用程序日志、安全日志
B. 系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件X 再XX 控制器的故障
C. 应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL（动态链接XX）XXX
D 安全日志跟踪网络入侵事件，**拒绝服务攻击，口令暴力破解等。

29 为了实现数据库的完整性控制，数据库管理员向提出一组完整行规则来检查数据库中的数据，完整行规则主要有三部分组成，一下那一个不是完整性规则的内容
A 完整新约束条件
B 完整新检查机制
C 完整新修复机制
D 违约处理机制
30.数据库事务日志的用途是：
A.事务处理
B.数据恢复
C.完整性约束
D.保密性控制
31.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行，这是哪种类型的漏洞？
A.缓冲区溢出
B.SQL注入
C.设计错误
D.跨站脚本
32.通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在？
A.明文形式存在
B.服务器加密后的密文形式存在
C.Hasn运算后的消息摘要值存在
D.用户自己加密后的密文形式存在
33.下列对跨站脚本攻击（XSS）的描述正确的是：
A.XSS攻击指的是恶意攻击在WEB页面里插入恶意代码，当用户浏览该页面时嵌入其中WEB 页面的代码会被执行，从而达到恶意攻击用户的特殊目的
B.XSS攻击是DOOS攻击的一种变种
C.XSS攻击就是CC攻击
D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使HS连接X超出限制，当CPU———————耗尽，那么网站也就被攻击垮了，从而达到攻击的目的。

34.下列哪种恶意代码不具备“不感染、依附性”的特点？
A.后门
B.*门
C.木马
D.蠕虫
35.下列关于计算机病毒感染能力的说法不正确的是
A 能将自身代码注入到引导区
B 能讲自身代码注入到扇区中的文件镜像
C 能将自身代码注入文本中并执行
D 能将自身文件注入到文档配置版的宏文件中
36.Smurf 利用下列哪种协议进行攻击？
A.ICMP
B.IGMP
C.TCP
D.UDP
37.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接受者，这种情况属于哪一种攻击？
A.重放攻击
B.Smurt攻击
C.字典攻击
D.中间人攻击
38.下列哪些措施不是有效的缓冲区溢出的防护措施？
A.使用标准的C语言字符串库进行操作
B.严格验证输入字符串长度
C.过滤不合规则的字符
D.使用第三方安全的字符串库操作
39.下面对PDCA模型的解释不正确的是：
A.通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动
B.是一种可以应用于信息安全管理活动的持续改进的有效实践方法
C.也被称为“戴明环”
D.适用于对组织整体活动的优化，不适合单个的过程以及个人
40.风险评估方法的选定在PDCA循环中的哪个阶段完成？
A.实施和运行
B.保持和改进
C.建立
D.监视和评审
41.在风险管理准备阶段“建立背景”（对象建立）过程中不用设置的是：
A.分析系统的体系结构
B.分析系统的安全环境
C.制定风险管理计划
D.调查系统的技术特性
42.风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程。

关于这些过程，以下的说法哪一个是正确的？
A.风险分析准备的内容是识别风险的影响和可能性
B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度
C.风险分析的内容是识别风险的影响和可能性
D.风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施
43.下列哪一项准确地描述了脆弱性、威胁、影响和风险之间的关系？
A.脆弱性增加了威胁，威胁利用了风险并导致了影响
B.风险引起了脆弱性并导致了影响，影响又引起了威胁
C.风险允许威胁利用脆弱性，并导致了影响
D.威胁利用脆弱性并产生影响的可能性称为风险，影响是威胁已造成损害的实例
44.管理者何时可以根据风险分析结果对已识别的风险不采取措施？
A.当必须的安全对策的成本高出实际风险的可能造成的潜在费用时
B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制范围之内时
D.不可接受
45.以下选项中哪一项是对于信息安全风险采取的纠正机制？
A.访问控制
B.入侵检测
C.灾难恢复
D.防病毒系统
46.下列对风险分析方法的描述正确的是：
A.定量分析比定性分析方法使用的工具更多
B.定性分析比定量分析方法使用的工具更多
C.同一组织只用使用一种方法进行评估
D.符合组织要求的风险评估方法就是最优方法
47.下列哪种处置方法属于转移风险？
A.部署综合安全审计系统
B.对网络行为进行实时监控
C.制订完善的制度体系
D.聘用第三方专业公司提供维护外包服务
48.某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负责最终责任？
A.部门经理
B.高级管理层
C.信息资产所有者
D.最终用户
49.以下关于“最小特权”安全管理原则理解正确的是：
A.组织机构内的敏感岗位不能由一个人长期负责
B.对重要的工作进行分解，分配给不同人员完成
C.一个人有且仅有其执行岗位所足够的许可和权限
D.防止员工由一个岗位变动到另一个岗位，累积越来越多的权限
50.在《信息系统灾难恢复规范》中，根据___要素，X灾难恢复等级划分为___X.
A. 7；6
B. 8；7
C. 7；7
D. 8；6
51.灾难发生时，系统和数据必须恢复到的______为恢复点目标（）
A. 时间要求
B. 时间点要求
C. 数据状态
D. 运行状态
52.根据灾难恢复演练的深度不同，可以将演练分为三个级别，这三个级别按演练深度由低到高的排序正确的是：
A.系统级演练、业务级演练、应用级演练
B.系统级演练、应用级演练、业务级演练
C.业务级演练、应用级演练、系统级演练
D.业务级演练、系统级演练、应用级演练
53.下面对能力成熟度模型解释最准确的是：
A.它认为组织的能力依赖于严格定义、管理完善、可测可控的有效业务过程
B.它通过严格考察工程成果来判断工程能力
C.它与统计过程控制理论的出发点不同，所以应用于不同领域
D.它是随着信息安全的发展而诞生的重要概念
54.下面对于SSE—CMM保证过程的说话错误的是：
A.保证是指安全需求得到满足的可信任程度
B.信任程度来自于对安全工程过程结果的判断
C.自验证与证实安全的主要手段包括观察、论证、分析和测试
D.PA“建立保证论据”为PA“验证与证实安全”提供了证据支持
55.SSE—CMM工程过程区域中的风险过程包含哪些过程区域？
A.评估威胁、评估脆弱性、评估影响
B.评估威胁、评估脆弱行、评估安全风险
C.评估威胁、评估脆弱性、评估影响、评估安全风险
D.评估威胁、评估脆弱性、评估影响、验证和证实安全
56.按照SSE—CMM，能力级别第三级是指：
A.定量控制
B.计划和跟踪
C.持续改进
D.充分定义
57.一个组织的系统安全能力成熟度达到哪个级别以后，就可以考为过程域（PA）的实施提供充分的资源？
A.2级——计划和跟踪
B.3级——充分定义
C.4级——量化控制
D.5级——持续改进
58.在IT项目管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进行校验可以实现的安全目标：
A.防止出现数据范围以外的值
B.防止出现错误的数据处理顺序
C.防止缓冲区溢出攻击
D.防止代码注入攻击
59 信息安全工程经理工程师不需要做的工作是
A 编写响应测试方案
B 审核相应测试方案
C 参与响应测试过程
D 审核响应测试资质
60.国际标准化组织ISO下属208个技术委员会（TCs），531个分技术委员会（SCs），2378个工作组（WGs）,其中负责信息安全技术标准化的组织是：
A.ISO/IEC
B.ISO/IEC JTC 1
C.ISO/IEC JTC 1/SC 27
D.ISO/IEC JTC 1/SC 37
61.________是目前国际通行的信息技术产品安全性评估标准？
A.TCSEC
B.ITSEC
D.IATF
62.以下对确定信息系统的安全保护等级理解正确的是：
A.信息系统的安全保护等级是信息系统的客观属性
B.确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施
C.确定信息系统的安全保护等级时应考虑风险评估的结果
D.确定信息系统的安全保护等级时应仅考虑业务信息的安全性
63.下面哪个不是ISO 27000 系列包含的标准？
A.《信息安全管理体系要求》
B.《信息安全风险管理》
C.《信息安全度量》
D.《信息安全评估规范》
64.以下哪一个关于信息安全评估的标准最先明确了保密性，完整性和可用性三项信息安全特征
A ITSEC
B TCSEC
C GB/TB9387.2
D 彩虹系列的橙皮书
65.目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，（计算机信息系统国家联网保密管理规定）是由下列哪个部门所指定的
A 公安部
B 国家保密局
C 信息产业部
D 国家密码管理委员会办公室
66.下面有关我国信息安全管理体制的说法错误的是：
A.目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面
B.我国的信息安全保障工作综合利用法律、管理和技术的手段
C.我过的信息安全管理成坚持及时检测、快速响应、综合治理的方针
D.我国对于信息安全责任的原则是谁主管、谁负责、谁经营、谁负责
67.以下哪一项不是我国与信息安全有关的国家法律？
A.《信息安全等级保护管理方法》
B.《中华人民共和国保守国家秘密法》
C.《中华人民共和国刑法》
D.《中华人民共和国国家安全法》
68.触犯新刑法285条规定的非法侵入计算机系统罪可判处______。

A.三年以下有期徒刑或拘役
B.1000元罚款
C.三年以上五年以下有期徒刑
D.10000元罚款
69.下列哪个不是《商用密码管理条例》规定的内容？
A.国家密码管理委员会及其办公室（简称密码管理机构）主管全国的商用密码管理工作
B.商用密码技术术语国家秘密，国家对商用密码产品的科研、生产、销售秘密XX行专空管理
C.商用密码产品由国家密码管理机构许可的单位销售
D.个人可以使用经国家密码管理机构认可之外的商用密码产品
70. tcp/IP协议的4层网络模型是？
A应用层、传输层、网络层和物理层
B应用层、传输层、网络层和网络接口层
C应用层、数据链路层、网络层和网络接口层
D会话层、数据连接层、网络层和网络接口层
71什么设备可以隔离ARP广播帧。

A路由器
B网桥
C以太网交换机
D集线器
72以下那一项不是应用层防火墙的特点？
A更有效的阻止应用层攻击
B工作在OSI模型的第七层
C速度快且对用户透明
D比较容易进行审计
73 桥接或透明模式是目前比较流行的防火墙部署方式，这种
方式-------？
A不需要对原有的网络配置进行修改
B性能比较高
C防火墙本身不容易受到攻击
D易于在防火墙上实现NAT
74以下哪一项不是IDS可以解决的问题：
A弥补网络协议的弱点
B识别和报告对数据文件的改动
C统计分析系统中异常活动模式
D提升系统监控能力
75 作为一个组织中的信息系统普通用户，以下那一项是不应该了解的？
A谁负责信息安全管理制度的制定和发布
B谁负责监督安全制度的执行
C信息系统发生灾难后，进行恢复工作的具体流程
D如果违反了安全制度可能会受到惩罚措施
76以下哪一项是DOS攻击的一个实例？
A SQL注入
B IP Soof
C S mur f攻击
D 字典破解
77 下面一行是某个UNIX 文件的详情，关于该文件权限的描述不正确的是‘drwxr—xrwx 2 group user 4096 05-05
09：14 file
A这是一个目录，名称是‘file’
B文件属组是group
C“其他人”对该文件具有读、写、执行权限
D user的成员对此文件没有写权限
78下列哪一组是Orecle数据库的默认用户名和默认口令？A用户名：Scott；口令：tiger
B用户名：‘sa’：口令：null
C用户名：‘ROOT’口令：null
D用户名：‘ADMIN’口令：null
79 下面把一项最准确的阐述了安全监测措施和安全审计措施之间的区别？
A审计措施不能自动执行，而监测措施可以自动执行
B监测措施不能自动执行，而审计措施可以自动执行
C 审计措施使一次性地或周期性进行，而审计措施是实时地进行
D 监测措施是指一次性地或周期性地进行，而审计措施是实时地进行
80口令是验证用户身份的最常用手段，以下那一种口令的风险影响范围最大-----------？
A长期没有修改的口令
B过短的口令两个人公用的口令
C两个人公用的口令
D设备供应商提供的默认口令
81 下列那一项是对信息系统经常不能满足用户需求的最好
解释
A没事适当的质量管理工具
B经常变化的用户需求
C用户参与需求挖掘不够
D项目管理能力不强
82“配置管理”是系统工程中的重要概念。

它在软件工程和
信息安全工程中得“配置管理”的解释最准确的是？
A配置管理的本质是变更流程管理
B 配置管理是一个对系统（包括软件、硬件、文档、测试设备，开发-----行控制的过程
C管理配置是对信息系统的技术参数进行管理
D管理配置是对系统基线和源代码的版本进行管理
83根据《信息系统安全保障评估框架第四部分：工程保障》安全工程过程
A 未实施、基本实施、计划跟踪、量化控制、充分定义和持续改进
B 未实施、基本实施、计划跟踪，充分定义、量化控制和持续改进
C 基本实施、计划跟踪、充分定义、量化控制和持续改进等5个
D 基本实施、计划跟踪、量化控制、充分定义和持续改进等5个
84 何种情况下，一个组织应当对公众和媒体公告其信息系统中发生的信息安全-----------？A当信息安全事件的负面影响扩展到本组织以外时
B只要发生了安全事件就应当公告
C只有公众的生命财产安全受到巨大危害时才公告
D当信息安全事件平息之后
85一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向那一家--------------？
A公安部公共信息网络安全监察及其各地相应部门
B国家计算机网络与信息安全管理中心
C互联网安全协会
D信息安全产业商会
86为中国信息安全测评中心cisp注册信息安全专业人员，对通过cisp之外还需要满足一基本要求，以下哪一项不属于这些基本要求：
A满足注册信息安全人员（cisp）注册资质的教育背景要求
B同意并遵守注册信息安全专业人员（cisp）执业准则
C在政府机关或重要信息系统的主管后运营单位从事信息安全保障工作或为其提供安全
D参加并完成由中国信息安全测评中心（CNITSEC）授权培训机构组织的注册信息安全专业人员（cisp）专业培训
87下列信息安全的认识不正确的是：
A安全是会随时间的推移而变化
B世上没有100%的安全
C合理的投资加可识别的风险即为安全
D安全是相对的，不安全是绝对的
88关于加密算法的应用范围，说话正确的有（）
A DSS用于数字签名，RSA用于加密和签名
B DSS用于密钥交换，IDEA用于加密和签名
C DSS用于数字签名，MD5用于加密和签名
D DSS用于加密和签名，MD5用于完整性效验
89下面哪种VPN技术工作的网络协议层次最高：
A IPSEC VPN
B SSL VPN
C L2TP VPN
D GR
E VPN
90PKI在验证一个数字证书时需要查看——来确认
A ARL
B CSS
C KMS
D CRL
91---公司要为机房配备灭火器材，你认为应该选择下面哪
一组最----？
A 干粉灭火器、卤代烷灭火器、二氧化的灭火器
B 水型灭火器、泡沫灭火器、卤代烷灭火器卤代烷灭火器
C 粉状石墨灭火器、铸铁屑灭火器
D Halon灭火器、卤代烷灭火器
92“公共交换电话网络”是一种语音通信电路交换网络，目前在技术-------它的英文缩写是：
A PSTN
B DDN
C ISDN
D ATM
93以下哪一项不是IDS可以解决的问题：
A 弥补网络协议的弱点
B识别和报告对数据文件的改动
C统计分析系统ongoing异常活动模式
D提升系统监控能力
94私网地址用于配置本地网络，下面的地址中，属于私网
A 1000.0.0.0
B 172.15.O.O
C 192.168.0.0
D 244.0.0.0
95在局域网环境中，以下哪一项技术主要是用来提供网络冗余
A 网络镜像
B RAID5
C HSRP和STP
D 全双工通信
96 在Windows xp 中用事件查看器查看日志文件，可看到的
日志包括--------。

A用户访问日志，安全性日志，系统日志和IE日志
B应用程序日志，安全性日志，系统日志和IE日志
C网络攻击日志，安全性日志，记账日志和IE日志
D网络攻击日志，安全性日志，服务日志和IE日志
97 Windows服务说法错误的是（）。