cisp模拟重要试题101216Word文件下载.docx

cisp模拟重要试题101216Word文件下载.docx

《cisp模拟重要试题101216Word文件下载.docx》由会员分享，可在线阅读，更多相关《cisp模拟重要试题101216Word文件下载.docx（31页珍藏版）》请在冰豆网上搜索。

106．某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值1000元的商品以

1元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。

最正确的说法应该是?

A．该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，所有的访问都强制要求使用https

B．该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施

C．该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决

D．该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可

107．针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需要考虑的攻击方式：

A．攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终100％

B．攻击者利用软件脚本使用多重嵌套查询，在数据量大时会导致查询效率低，通过发送大量的查询导致数据库响应缓慢

C．攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数，导致并发连接数耗尽而无法访问

D.攻击者买通了IDC人员，将某软件运行服务器的网线拔掉导致无法访问

108．以下哪个选项不是防火墙提供的安全功能?

A．IP地址欺骗防护

B．NAT

C．访问控制

D．SQL注入攻击防护

109．以下关于可信计算说法错误的是：

A．可信的主要目的是要建立起主动防御的信息安全保障体系

B．可信计算机安全评价标准（TCSEC）中第一次提出了可信计算机和可信计算基的概念

C．可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信

D．可信计算平台出现后会取代传统的安全防护体系和方法

110．Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，

属于admin组中user用户，以下哪个是该文件正确的模式表示?

A.rwxr-xr-3useradmin1024Sep1311：

58test

B.drwxr-xr-x3useradmin1024Sep1311：

C．rwxr-xr-x3adminuser1024Sep1311：

D．drwxr-xr-x3adminuser1024Sep1311：

111．ApacheWeb服务器的配置文件一般位于/usr／local／apache／conf目录，其中用

来控制用户访问Apache目录的配置文件是：

A.httpd．conf

B．srLconf

C．access．conf

D．inetd．conf

112．应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策略，以下不属于数据库防护策略的是?

A．安装最新的数据库软件安全补丁

B．对存储的敏感数据进行安全加密

C．不使用管理员权限直接连接数据库系统

D．定期对数据库服务器进行重启以确保数据库运行良好

113．下列哪项内容描述的是缓冲区溢出漏洞?

A.通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令

B．攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。

C．当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法

数据上

D．信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产

生的缺陷

114．对恶意代码的预防，需要采取增强安全防范策略与意识等措施，关于以下预防措施或意识，说法错误的是：

A．在使用来自外部的移动介质前，需要进行安全扫描

B．限制用户对管理员权限的使用

C.开放所有端口和服务，充分使用系统资源

D．不要从不可信来源下载或执行应用程序

115．安全专家在对某网站进行安全部署时，调整了Apache的运行权限，从root权限降低为nobody用户，以下操作的主要目的是：

A．为了提高Apache软件运行效率

B．为了提高Apache软件的可靠性

C.为了避免攻击者通过Apache获得root权限

D．为了减少Apache上存在的漏洞

116．下列关于计算机病毒感染能力的说法不正确的是：

A．能将自身代码注入到引导区

B．能将自身代码注入到扇区中的文件镜像

C．能将自身代码注入文本文件中并执行

D．能将自身代码注入到文档或模板的宏中代码

117．以下哪个是恶意代码采用的隐藏技术：

A．文件隐藏

B．进程隐藏

C．网络连接隐藏

D．以上都是

118．通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效的网络信息流时，这种攻击称之为：

A．Land攻击

B．Smurf攻击

C．PingofDeath攻击

D.ICMPFlood

119．以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击

A．Land

B．UDPFlood

C．Smurf

D.teardrop

120．传输控制协议（TCP）是传输层协议，以下关于TCP协议的说法，哪个是正确的?

A．相比传输层的另外一个协议UDP，TCP既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用途

B．TCP协议包头中包含了源IP地址和目的IP地址，因此TCP协议负责将数据传送到正

确的主机

C．TCP协议具有流量控制、数据校验、超时重发、接收确认等机制，因此TCP协议能完全替代IP协议

D.TCP协议虽然高可靠，但是相比UDP协议机制过于复杂，传输效率要比UDP低

121．以下关于UDP协议的说法，哪个是错误的?

A．UDP具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击

B．UDP协议包头中包含了源端口号和目的端口号，因此UDP可通过端口号将数据包送达正确的程序

C．相比TCP协议，UDP协议的系统开销更小，因此常用来传送如视频这一类高流量需求的应用数据

D．UDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频会话这类需要隐私保护的数据

123．近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方法是?

A．加强网站源代码的安全性

B．对网络客户端进行安全评估

C.协调运营商对域名解析服务器进行加固

D．在网站的网络出口部署应用级防火墙

124．关于源代码审核，下列说法正确的是：

A．人工审核源代码审校的效率低，但采用多人并行分析可以完全弥补这个缺点

B．源代码审核通过提供非预期的输入并监视异常结果来发现软件故障，从而定位可能导致安全弱点的薄弱之处

C．使用工具进行源代码审核，速度快，准确率高，已经取代了传统的人工审核

D.源代码审核是对源代码检查分析，检测并报告源代码中可能导致安全弱点的薄弱之处

125．在戴明环（PDCA）模型中，处置（ACT）环节的信息安全管理活动是：

A．建立环境

B．实施风险处理计划

C．持续的监视与评审风险

D.持续改进信息安全管理过程

126．信息系统的业务特性应该从哪里获取?

A．机构的使命

B．机构的战略背景和战略目标

C.机构的业务内容和业务流程

D．机构的组织结构和管理制度

34

127．在信息系统设计阶段，“安全产品选择”处于风险管理过程的哪个阶段?

A．背景建立

B．风险评估

C．风险处理

D．批准监督

128．以下关于“最小特权”安全管理原则理解正确的是：

A．组织机构内的敏感岗位不能由一个人长期负责

B．对重要的工作进行分解，分配给不同人员完成

C.一个人有且仅有其执行岗位所足够的许可和权限

D．防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

129．以下哪一项不属于常见的风险评估与管理工具：

A．基于信息安全标准的风险评估与管理工具

B．基于知识的风险评估与管理工具

C.基于模型的风险评估与管理工具

D．基于经验的风险评估与管理工具

130．以下说法正确的是：

A．验收测试是由承建方和用户按照用户使用手册执行软件验收

B．软件测试的目的是为了验证软件功能是否正确

c．监理工程师应按照有关标准审查提交的测试计划，并提出审查意见

D．软件测试计划开始于软件设计阶段，完成于软件开发阶段

131．信息系统安全保护等级为3级的系统，应当（）年进行一次等级测评?

A．0．5

B.1

C．2

D．3

35

132.国家科学技术秘密的密级分为绝密级、机密级、秘密级，以下哪项属于绝密级的描述?

A．处于国际先进水平，并且有军事用途或者对经济建设具有重要影响的

B．能够局部反应国家防御和治安实力的

C．我国独有、不受自然条件因素制约、能体现民族特色的精华，并且社会效益或者经济效益显著的传统工艺

D．国际领先，并且对国防建设或者经济建设具有特别重大影响的

133.关于我国加强信息安全保障工作的总体要求，以下说法错误的是：

A．坚持积极防御、综合防范的方针

B．重点保障基础信息网络和重要信息系统安全

C．创建安全健康的网络环境

D．提高个人隐私保护意识

134.根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定，以下正确的是：

A．涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行

B．非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》

等有关要求进行

C．可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告

D．此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容

135.某单位信息安全岗位员工，利用个人业余时阀，在社交网络平台上向业内同不定期发布信息安全相关知识和前沿动态资讯，这一行为主要符合以下哪一条注册信息安全专业人员（CISP）职业道德准则：

A．避免任何损害CISP声誉形象的行为

B．自觉维护公众信息安全，拒绝并抵制通过计算机网络系统泄露个人隐私的行为

C．帮助和指导信息安全同行提升信息安全保障知识和能力

D．不在公众网络传播反动、暴力、黄色、低俗信息及非法软件

136.信息安全保障技术框架（InformationAssuranceTechnicalFramework，IATF）由美国国家安全局（NSA）发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是：

A．网络和基础设施区域边界重要服务器

B．网络和基础设施区域边界计算环境

C．网络机房环境网络接口计算环境

D．网络机房环境网络接口重要服务器

137.以下哪一项不是我国信息安全保障的原则：

A．立足国情，以我为主，坚持以技术为主

B．正确处理安全与发展的关系，以安全保发展，在发展中求安全

C．统筹规划，突出重点，强化基础性工作

D．明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息

安全保障体系

138.我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面，

以下关于信息安全保障建设主要工作内容说法不正确的是：

A．健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障

B．建设信息安全基础设施，提供国家信息安全保障能力支撑

C．建立信息安全技术体系，实现国家信息化发展的自主创新

D．建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养

139.某银行信息系统为了满足业务发展的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分折过程需要考虑的主要因素?

A．信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准

B．信息系统所承载该银行业务正常运行的安全需求

C．消除或降低该银行信息系统面临的所有安全风险

D．该银行整体安全策略

140.下列选项中，哪个不是我国信息安全保障工作的主要内容：

?

A．加强信息安全标准化工作，积极采用“等同采用、修改采用、制定”等多种方式，尽快建立和完善我国信息安全标准体系

B．建立国家信息安全研究中心，加快建立国家急需的信息安全技术体系，实现国家信息安全自主可控目标

C．建设和完善信息安全基础设施，提供国家信息安全保障能力支撑

D．加快信息安全学科建设和信息安全人才培养

141.关于信息安全管理，说法错误的是：

A．信息安全管理是管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动。

B．信息安全管理是一个多层面、多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力。

C．实现信息安全，技术和产品是基础，管理是关键。

D．信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个静态过程。

142.以下哪个选项不是信息安全需求的来源?

A．法律法规与合同条约的要求

B．组织的原则、目标和规定

C．风险评估的结果

D．安全架构和安全厂商发布的病毒、漏洞预警

143.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是：

A．确保采购定制的设备、软件和其他系统组件满足已定义的安全要求

B．确保整个系统已按照领导要求进行了部署和配置

C．确保系统使用人员已具备使用系统安全功能和安全特性的能力

D．确保信息系统的使用已得到授权

144.下列关于信息系统生命周期中安全需求说法不准确的是：

A．明确安全总体方针，确保安全总体方针源自业务期望

B．描述所涉及系统的安全现状，提交明确的安全需求文档

C．向相关组织和领导人宣贯风险评估准则

D．对系统规划中安全实现的可能性进行充分分析和论证

145.小张在某单位是负责事信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。

一次培训的时候，小张主要负责讲解风险评估工作形式，

小张认为：

1．风险评估工作形式包括：

自评估和检查评估；

2．自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估；

3．检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估；

4．对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼，请问小张的所述论点中错误的是哪项：

A．第一个观点

B．第二个观点

C．第三个观点

D．第四个观点

146.小李在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训，一次培训的时候，小李主要负责讲解风险评估方法。

请问小李的所述论点中错误的是哪项：

A．风险评估方法包括：

定性风险分析、定量风险分析以及半定量风险分析

B．定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性

C．定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值，因此更具客观性

D．半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化

147.风险评估工具的使用在一定程度上解决了手动评佑的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛使用，根据在风险评估过程中的主要任务和作用愿理，风险评估工具可以为以下几类，其中错误的是：

A．风险评估与管理工具

B．系统基础平台风险评估工具

C．风险评估辅助工具

D．环境风险评估工具

148.为了解风险和控制风险，应当及时进行风险评估活动，我国有关文件指出：

风险评估的工作形式可分为自评估和检查评估两种，关于自评估，下面选项中描述错误的是（）。

A．自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估

B．自评估应参照相应标准、依据制定的评估方案和评估准则，结合系统特定的安全要求实施

C．自评估应当是由发起单位自行组织力量完成，而不应委托社会风险评估服务机构来实施

D．周期性的自评估可以在评估流程上适当简化，如重点针对上次评估后系统变化部分进行

149.信息安全风险评估是信息安全风险管理工作中的重要环节，在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》（国信办（2006）5号）中，风险评估分为自评估和检查评估两种形式，并对两种工作形式提出了有关工作原则和要求，下面选项

中描述正确的是（）。

A．信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充

B．信息安全风险评估应以检查评估为主，自评估和检查评估相互结合、互为补充

C．自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个，并长期使用

D．自评估和检查评估是相互排斥的，无特殊理由的单位均应选择检查评估，以保证安全效果

150.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风险评估分为自评估和检查评估两种形式。

该部门将有关检查评估的特点和要求整理成

如下四条报告给单位领导，其中描述错误的是（）。

A．检查评估可依据相关标准的要求，实施完整的风险评估过程；

也可在自评估的基础上，对关键环节或重点内容实施抽样评估

B．检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测

C．检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施

D．检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点

151.小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小，假设

单位机房的总价值为200万元人民币，暴露系数（ExposureFactor，EF）是25％，年度发生率

（AnnualizedRateofOccurrence，ARO）为0．1，那么小王计算的年度预期损失（AnnualizedLoss

Expectancy，ALE）应该是（）。

A．5万元人民币

B．50万元人民币

C．2．5万元人民币

D．25万元人民币

152.规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，某单位在实施风险评估时，形成了《风险评估方案》并得到了管理决策层的认可，在风险评估实施的各个阶段中，该《风险评估方案》应是如下（）中的输出结果。

A．风险评估准备阶段

B．风险要素识别阶段

C．风险分析阶段

D．风险结果判定阶段

153.规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。

某单位在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。

在风险评估实施的各个阶段中，该《待评估信息系统相关设备及资产清单》应是如下（）中的输出结果。

A．风险评估准备

B．风险要素识别

C．风险分析

D．风险结果判定

154.风险要素识别是风险评估实施过程中的一个重要步骤，小李将风险要素识别的主要过程使用图形来表示，如下图所示，请为图中空白框处选择一个最合适的选项（）。

A．识别面临的风险并赋值

B．识别存在的脆弱性并赋值

C．制定安全措施实施计划

D．检查安全措施有效性

155.某单位在实施信息安全风险评估后，形成了若干文挡，下面（）中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。

A．《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、

角色及职责、经费预算和进度安排等内容

B．《风险评估方法和工具列表》。

主要包括拟用的风险评估方法和测试评估工具等内容

C．《已有安全措施