最新CISP试题及答案7套题详解.docx

最新CISP试题及答案7套题详解.docx

《最新CISP试题及答案7套题详解.docx》由会员分享，可在线阅读，更多相关《最新CISP试题及答案7套题详解.docx（12页珍藏版）》请在冰豆网上搜索。

最新CISP试题及答案7套题详解

1.下面关于信息安全保障的说法正确的是：

A.信息安全保障的概念是与信息安全的概念同时产生的

B.信息系统安全保障要素包括信息的完整性、可用性和保密性

C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段

D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施在系统的生命周期内确保信息的安全属性

2.根据《GB/T20274信息安全保障评估框架》，对信息系统安全保障能力进行评估应

A.信息安全管理和信息安全技术2个方面进行

B.信息安全管理、信息安全技术和信息安全工程3个方面进行

C.信息安全管理、信息安全技术、信息安全工程和人员4个方面进行

D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进行

3.哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模

通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征

4.对于信息安全发展历史描述正确的是：

A.信息安全的概念是随着计算机技术的广泛应用而诞生的

B.目前信息安全己经发展到计算机安全的阶段

C.目前信息安全不仅仅关注信息技术，人们意识到组织、管理、工程过程和人员同样是促进系统安全性的重要因素

D.我们可以将信息安全的发展阶段概括为，由“计算机安全”到“通信安全”，再到“信息安全”，直至现在的“信息安全保障”

5.ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务

A.加密

B.数字签名

C.访问控制

D.路由控制

6.表示层

7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性

A.ITSEC

B.TCSEC

C.GB/T9387.2

D.彩虹系列的橙皮书

8.下面对于CC的“保护轮廓”（PP）的说法最准确的是：

A.对系统防护强度的描述

B.对评估对象系统进行规范化的描述

C.对一类TOE的安全需求，进行与技术实现无关的描述

D.由一系列保证组件构成的包，可以代表预先定义的保证尺度

9.以下哪一项属于动态的强制访问控制模型？

A.Bell一Lapudufa模型

B.

10.

C.Strongstarproperty处于

D.Bell一Lapadula模型的访问规则主要是出于对保密性的保护而制定的

11.下面对于强制访问控制的说法错误的是？

A它可以用来实现完整性保护，也可以用来实现机密性保护

B在强制访问控制的系统中，用户只能定义客体的安全属性

C它在军方和政府等安全要求很高的地方应用较多

D它的缺点是使用中的便利性比较低

12.以下哪两个安全模型分别是多级完整性模型和多边保密模型？

A.Biba模型和Bell一Lapadula模型

B.Bell一Lapaduia模型和Biba模型

C.ChineseWall模型和Bell一Lapadula模型

D.Biba模型和ChineseWall模型

13.在一个使用ChineseWall模型建立访问控制的信息系统中，数据W和数据X在一个兴趣冲突域中，数据Y和数据Z在另一个兴趣冲突域中，那么可以确定一个新注册的用户：

A.只有访问了W之后，才可以访问X

B.只有访问了W之后，才可以访问Y和Z中的一个

C.无论是否访问W，都只能访问Y和Z中的一个

D.无论是否访问W，都不能访问Y或Z

14.BMA访问控制模型是基于

A.健康服务网络

B.ARPANET

C.ISP

D.INTERNET

15.

16.

证书持有者的公钥

证书颁发机构的签名

证书有效期

17.下面关于密码算法的说法错误的是？

A.分组密码又称作块加密

B.流密码又称作序列密码

C.DES算法采用的是流密码

D.序列密码每次加密一位或一个字节的明文

18.下面对于SSH的说法错误的是？

A.SSH是SecureShell的简称

B.客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证

C.通常Linux操作系统会在/usr/local目录下默认安装OpenSSH

D.SSH2比SSH1更安全

19.下面对于标识和鉴别的解释最准确的是：

A.标识用于区别不同的用户，而鉴别用于验证用户身份的真实性

B.标识用于区别不同的用户，而鉴别用于赋予用户权限

C.标识用于保证用户信息的完整性，而鉴别用于验证用户身份的真实性

D.标识用于保证用户信息的完整性，而鉴别用于赋予用户权限

20.指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例：

A.你是什么

B.你有什么

C.你知道什么

D.你做了什么

21.安全审计是对系统活动和记录的独立检查和验证，以下哪一项不是审计系统的

A.辅助辨识和分析XX的活动或攻击

B.对与己建立的安全策略的一致性进行核查

C.及时阻断违反安全策略的访问

D.帮助发现需要改进的安全控制措施

22.下面哪一项不是通用IDS模型的组成部分：

A.传感器

B.过滤器

23.

24.以下哪一项属于物理安全方面的管理控制措施？

A.照明

B.护柱

C.培训

D.建筑设施的材料

25.以下哪种不是火灾探测器类型：

A.电离型烟传感器

B.光电传感器

C.声学震动探测系统

D.温度传感器

26.以下关于事故的征兆和预兆说法不正确的是：

A.预兆是事故可能在将来出现的标志

B.征兆是事故可能己经发生或正在发生的标志

C.预兆和征兆的来源包括网络和主机IDS、防病毒软件、系统和网络日志

D.所有事故的预兆和征兆都是可以发现的

27.组织机构应根据事故类型建立揭制策略，需要考虑以下几个因素，除了：

A、实施策略需要的时间和资源B、攻击者的动机C、服务可用性D、证据保留的时间

28、下面安全套接字层协议（SSL）的说法错误的是？

A、它是一种基于Web应用的安全协议B、由于SSL是内嵌的浏览器中的，无需安全客户端软件，所以相对于IPSEC更简C、SSL与IPSec一样都工作在网络层

D、SSL可以提供身份认证、加密和完整性校验的功能

29、用来为网络中的主机自动分配IP地址、子网掩码、默认网关、wins服务器地址的网？

A、ARPB、IGMPC、ICMPD、DHCP

301下面哪一项不是VPN协议标准：

A、L2TPB、ipsecC、TACACS+D、PPTP

30、IPSEC的两种使用模式分别是_______和_____

A传输模式、安全壳模式B传输模式、隧道模式C隧道模式、ESP模式

D安全壳模式、AH模式

31、组成IPSEC的主要安全协议不包括以下哪一项：

A、ESPB、DSSC、IKED、AH

32、在UNIX系统中输入命令“LS-altest”显示如下;

-rwxr-xr-x3rootroot1024Sep1311:

58test”对他的含义解释错误的是：

A、这是一个文件，而不是目录

B、文件的拥有者可以对这个文件读、写和执行的操作

C、文件所属组的成员有可以读它，也可以执行它

D、其他所有用户只可以执行它

33、计算机具有的IP地址是有限的，但通常计算机会开启多项服务或运行多个应用程序，那么如何在网络通信中对这些程序或服务进行单独标识？

A分配网络端口号（如ftp服务对应21端口）B利用MAC地址C使用子网掩码D利用PKI/CA

34、ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是：

Ahttpd.confBsrm.confCinetd.confDaccess.conf

35、下面哪一项是操作系统中可信通路（trustpath）机制的实例？

AWindow系统中ALT+CTRL+DEL

Broot在Linux系统上具有绝对的权限

C以root身份作任何事情都要谨慎

D控制root用户的登录可以在/etc/security目录下的access.conf文件中进行设置

36、以下对Windows服务的说法错误的是（）

A为了提升系统的安全性管理员应尽量关闭不需要的服务

BWindows服务只有在用户成功登录系统后才能运行

C可以作为独立的进程运行或以DLL的形式依附在Svchost.exe

Dwindows服务通常是以管理员的身份运行的

37、以下哪一项不是IIS服务器支持的访问控制过滤类型？

A网络地址访问控制Bweb服务器许可CNTFS许可D异常行为过滤

38、下列哪一项与数据库的安全有直接关系？

A访问控制的粒度B数据库的大小C关系表中属性的数量D关系表中元组的数量

39、下列哪一组Oracle数据库的默认用户名和默认口令？

A用户名：

“Scott”；口令：

“tiger”B用户名：

“Sa”；口令：

“nullr”

C用户名：

“root”；口令：

“null”D用户名：

“admin”；口令：

“null”

40、关于数据库安全的说法错误的是？

A数据库系统的安全性很大程度上依赖于DBMS的安全机制

B许多数据库系统在操作系统一下文件形式进行管理，因此利用操作系统漏洞可以窃取数据库文件

C为了防止数据库中的信息被盗取，在操作系统层次对文件进行加密是唯一从根本上解决问题的手段

D数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护

42、下面关于计算机恶意代码发展趋势的说法错误的是：

A木马和病毒盗窃日益猖獗B利用病毒犯罪的组织性和趋利性增加

C综合利用多种编程新技术、对抗性不断增加D复合型病毒减少，而自我保护功能增加

43、关于网页中的恶意代码，下列说法错误的是：

A网页中的恶意代码只能通过IE浏览器发挥作用

B网页中恶意代码可以修改系统注册表

C网页中的恶意代码可以修改系统文件

D网页中的恶意代码可以窃取用户的机密性文件

44、下面对于“电子邮件炸弹”的解释最准确的是：

A邮件正文中包含的恶意网站链接

B邮件附件中具有强破坏性的病毒

C社会工程的一种方式，具有恐吓内容的邮件

D在短时间内发送大量邮件软件，可以造成目标邮箱爆满

45、以下哪一项是常见Web站点脆弱性扫描工具：

ASnifferBNmapCAppscanDLC

46、下面哪一项不是安全编程的原则

A尽可能使用高级语言进行编程

B尽可能让程序只实现需要的功能

C不要信任用户输入的数据

D尽可能考虑到意外的情况，并设计妥善的处理方法

47、黑客进行攻击的最后一个步骤是：

A侦查与信息收集B漏洞分析与目标选定C获取系统权限D打扫战场、清楚证据

48、下面哪一项是缓冲溢出的危害？

A可能导致shellcode的执行而非法获取权限，破坏系统的保密性

B执行shellcode后可能进行非法控制，破坏系统的完整性

C可能导致拒绝服务攻击，破坏系统的可用性

D以上都是

49、以下哪一项是DOS攻击的一个实例

ASQL注入BIPSpoofCSmurf攻击D字典破解

50、以下对于蠕虫病毒的错误说法是（）