CISP试题及答案四套题.docx
- 文档编号:4820869
- 上传时间:2022-12-09
- 格式:DOCX
- 页数:23
- 大小:27.21KB
CISP试题及答案四套题.docx
《CISP试题及答案四套题.docx》由会员分享,可在线阅读,更多相关《CISP试题及答案四套题.docx(23页珍藏版)》请在冰豆网上搜索。
CISP试题及答案四套题
1信息平安开展各阶段中,下面哪一项为哪一项信息平安所面临的主要威胁
A病毒
B非法访问
C信息泄漏
D---口令
2.关于信息保障技术框架IATF,以下说法错误的选项是
AIATF强调深度防御,关注本地计算环境,区域边境,网络和根底设施,支撑性根底设施等多个领域的平安保障
BIATF强调深度防御,针对信息系统采取多重防护,实现组织的业务平安运作。
CIATF强调从技术,管理和人等多个角度来保障信息系统的平安
DIATF强调的是以平安检测访问监测和自适应填充“平安问责〞为循环来提高网络平安
3.美国国家平安局的?
信息保障技术框架?
IATF,在描述信息系统的平安需求时将信息系统分为
A网和外网两个局部
B本地计算环境、区域边界、网络和根底设施支撑性根底设施四个局部
C用户终端、效劳器、系统软件网络设备和通信线路应用软件五个局部
D用户终端、效劳器、系统软件网络设备和通信线路应用软件、平安防护六个级别
4.下面那一项表示了信息不被非法篡改的属性
A可生存性
B完整性
C准确性
D参考完整性
5.以下关于信息系统平安保障是主关和客观的结论说法准确的是
A信息系统平安保障不仅涉及平安技术,还综合参考平安管理平安工程和人员平安等以平安保障信息系统平安
B通过在技术、管理、工程和人员方面客观地评估平安保障措施向信息系统的所有者提供其现有平安保障工作是否满足其平安保障目标的信心
C是一种通过客观保证向信息系统评估者提供主观信心的活动
D
6、一下那些不属于现代密码学研究
AEnigma密码机的分析频率
B--
Cdiffie-herrman密码交换
D查分分析和线性分析
7.常见密码系统包含的元素是:
A.明文、密文、信道、加密算法、解密算法
B.明文,摘要,信道,加密算法,解密算法
C.明文、密文、密钥、加密算法、解密算法
D.消息、密文、信道、加密算法、解密算法
8.公钥密码的应用不包括:
A.数字签名
B.非平安信道的密钥交换
C.消息认证码
D.身份认证
9.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?
A.DSS
B.Diffie-Hellman
C.RSA
D.AES
10.目前对MD5,SHAI算法的攻击是指:
A.能够构造出两个不同的消息,这两个消息产生了一样的消息摘要
B.对于一个的消息,能够构造出一个不同的消息,这两个消息产生了一样的消息摘要
C.对于一个的消息摘要,能够恢复其原始消息
D.对于一个的消息,能够构造一个不同的消息摘要,也能通过验证。
11以下对强制访问控制描述不正确的选项是
A主题对客体的所有访问
B强制访问控制时,主体和客体分配一个平安属性
C客体的创立者无权控制客体的访问权限
D强制访问控制不可与自主访问控制访客使用
12一下那些模型关注与信息平安的完整性
ABIBA模型和BELL-LAPADULA模型
B bell-lapadula模型和chianswell模型
CBiba模型和ciark-wllear
Dciark-wllear模型和chianswell模型
13按照BLP模型规那么,以下哪种访问才能被授权
ABob的平安级是,文件的平安级是,Bob请求写该文件
BBob的平安级是,文件的平安级是,Bob请求读该文件
CAlice的平安级是,文件的平安级是,Alice请求写该文件
DAlice的平安级是,文件的平安级是,Alice请求读该文件
14.在一个使用ChineseWall模型建立访问控制的消息系统中,————
A.只有访问了W之后,才可以访问X
B.只有访问了W之后,才可以访问Y和Z中的一个
C.无论是否访问W,都只能访问Y和Z中的一个
D.无论是否访问W,都不能访问Y或Z
15.以下关于RBAC模型的说确的是:
A.该模型根据用户所担任的角色和平安级来决定用户在系统中的访问权限
B.一个用户必须扮演并激活某种角色,才能对一个对象进展访问或执行某种操作
C.在该模型中,每个用户只能有一个角色
D.在该模型中,权限与用户关联,用户与角色关联
16.以下对Kerberos协议过程说确的是:
A.协议可以分为两个步骤:
一是用户身份鉴别;二是获取请求效劳
B.协助可以分为两个步骤:
一是获得票据许可票据;二是获取请求效劳
C.协议可以分为三个步骤:
一是用户身份鉴别;二是获得票据许可票据;三是获得效劳许可票据
D.协议可以分为三个步骤:
一是获得票据许可票据;二是获得效劳许可票据;三是获得效劳
17.基于生物特征的鉴别系统一般使用哪个参数来判断系统的准确度?
A.错误拒绝率
B.错误监测率
C.穿插错判率
D.错误承受率
18.以下对密网功能描述不正确的选项是:
A.可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击
B.吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的活动记录下来
C.可以进展攻击检测和实时报警
D.可以对攻击活动进展监视、检测和分析
19.下面哪一个不属于基于OSI七层协议的平安体系构造的5种效劳之一?
A.数据完整性
B.数据性
C.数字签名
D.抗抵赖
20.以下哪种方法不能有效保障WLN的平安性
A制止默认的效劳SSID
B制止SSID播送
C启用终端与AP的双面认证
D启用无线AP的—认证测试
21.简单包过滤防火墙主要工作在:
A.层/网络层
B.网络层/传输层
C.应用层
D.回话层
22.以下哪一项不是应用层防火墙的特点?
A.更有效的阻止应用层攻击
B.工作在OSI模型的第七层
C.速度快且对用户透明
D.比拟容易进展审计
23.下面哪一项不是IDS的主要功能?
A.监控和分析用户系统活动
B.统计分析异常活动模式
C.对被破坏的数据进展修复
D.识别活动模式以反映攻击
24.有一类IDS系统将所观察到的活动同认为正常的活动进展比拟并识别重要的XX来发现入侵事件,这种机制称作:
A.异常检测
B.特征检测
C.差距分析
D.比对分析
25.以下关于Linux用户和组的描述不正确的选项是:
A.在linux中,每一个文件和程序都归属于一个特定的“用户〞
B.系统中的每一个用户都必须至少属于一个用户组
C.用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于多个组
D.Root是系统的超级用户,无论是否文件和程序的所有者都且有访问权限
26.以下关于linux超级权限的说明,不正确的选项是:
A.一般情况下,为了系统平安,对于一般常规级别的应用,不需要root用户来操作完成
B.普通用户可以通过su和sudo来获取系统的超级权限
C.对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进展
D.Root是系统的超级用户,无论是否为文件和程序的所有者都只有访问权限
27.在windows操作系统中,欲限制用户无效登录的次数,应当怎么做?
A.在“本地平安设置〞中对“密码策略〞进展设置
B.在“本地平安设置〞中对“账户锁定策略〞进展设置
C.在“本地平安设置〞中对“审核策略〞进展设置
D.在“本地平安设置〞中对“用户权利指派〞进展设置
28.以下对windows系统日志的描述错误的选项是:
A.Windows系统默认有三个日志,系统日志、应用程序日志、平安日志
B.系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件X再XX控制器的故障
C.应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL〔动态XX〕XXX
D平安日志跟踪网络入侵事件,**拒绝效劳攻击,口令暴力破解等。
29为了实现数据库的完整性控制,数据库管理员向提出一组完整行规那么来检查数据库中的数据,完整行规那么主要有三局部组成,一下那一个不是完整性规那么的容
A完整新约束条件
B完整新检查机制
C完整新修复机制
D违约处理机制
30.数据库事务日志的用途是:
A.事务处理
B.数据恢复
C.完整性约束
D.性控制
31.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞?
A.缓冲区溢出
B.SQL注入
C.设计错误
D.跨站脚本
32.通常在数据库中,用户信息中的密码一项,是以哪种形式存在?
A.明文形式存在
B.效劳器加密后的密文形式存在
C.Hasn运算后的消息摘要值存在
D.用户自己加密后的密文形式存在
33.以下对跨站脚本攻击〔XSS〕的描述正确的选项是:
A.XSS攻击指的是恶意攻击在WEB页面里插入恶意代码,当用户浏览该页面时嵌入其中WEB页面的代码会被执行,从而到达恶意攻击用户的特殊目的
B.XSS攻击是DOOS攻击的一种变种
C.XSS攻击就是CC攻击
D.XSS攻击就是利用被控制的机器不断地向被攻击发送访问请求,迫使HS连接X超出限制,当CPU———————耗尽,那么也就被攻击垮了,从而到达攻击的目的。
34.以下哪种恶意代码不具备“不感染、依附性〞的特点?
A.后门
B.*门
C.木马
D.蠕虫
35.以下关于计算机病毒感染能力的说法不正确的选项是
A能将自身代码注入到引导区
B能讲自身代码注入到扇区中的文件镜像
C能将自身代码注入文本中并执行
D能将自身文件注入到文档配置版的宏文件中
36.Smurf利用以下哪种协议进展攻击?
A.ICMP
B.IGMP
C.TCP
D.UDP
37.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给承受者,这种情况属于哪一种攻击?
A.重放攻击
B.Smurt攻击
C.字典攻击
D.中间人攻击
38.以下哪些措施不是有效的缓冲区溢出的防护措施?
A.使用标准的C语言字符串库进展操作
B.严格验证输入字符串长度
C.过滤不合规那么的字符
D.使用第三方平安的字符串库操作
39.下面对PDCA模型的解释不正确的选项是:
A.通过规划、实施、检查和处置的工作程序不断改良对系统的管理活动
B.是一种可以应用于信息平安管理活动的持续改良的有效实践方法
C.也被称为“戴明环〞
D.适用于对组织整体活动的优化,不适合单个的过程以及个人
40.风险评估方法的选定在PDCA循环中的哪个阶段完成?
A.实施和运行
B.保持和改良
C.建立
D.监视和评审
41.在风险管理准备阶段“建立背景〞〔对象建立〕过程中不用设置的是:
A.分析系统的体系构造
B.分析系统的平安环境
C.制定风险管理方案
D.调查系统的技术特性
42.风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程。
关于这些过程,以下的说法哪一个是正确的?
A.风险分析准备的容是识别风险的影响和可能性
B.风险要素识别的容是识别可能发生的平安事件对信息系统的影响程度
C.风险分析的容是识别风险的影响和可能性
D.风险结果判定的容是发现系统存在的威胁、脆弱性和控制措施
43.以下哪一项准确地描述了脆弱性、威胁、影响和风险之间的关系?
A.脆弱性增加了威胁,威胁利用了风险并导致了影响
B.风险引起了脆弱性并导致了影响,影响又引起了威胁
C.风险允许威胁利用脆弱性,并导致了影响
D.威胁利用脆弱性并产生影响的可能性称为风险,影响是威胁已造成损害的实例
44.管理者何时可以根据风险分析结果对已识别的风险不采取措施?
A.当必须的平安对策的本钱高出实际风险的可能造成的潜在费用时
B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制围之时
D.不可承受
45.以下选项中哪一项为哪一项对于信息平安风险采取的纠正机制?
A.访问控制
B.入侵检测
C.灾难恢复
D.防病毒系统
46.以下对风险分析方法的描述正确的选项是:
A.定量分析比定性分析方法使用的工具更多
B.定性分析比定量分析方法使用的工具更多
C.同一组织只用使用一种方法进展评估
D.符合组织要求的风险评估方法就是最优方法
47.以下哪种处置方法属于转移风险?
A.部署综合平安审计系统
B.对网络行为进展实时监控
C.制订完善的制度体系
D.聘用第三方专业公司提供维护外包效劳
48.某公司正在进展信息平安风险评估,在决定信息资产的分类与分级时,谁负责最终责任?
A.部门经理
B.高级管理层
C.信息资产所有者
D.最终用户
49.以下关于“最小特权〞平安管理原那么理解正确的选项是:
A.组织机构的敏感岗位不能由一个人长期负责
B.对重要的工作进展分解,分配给不同人员完成
C.一个人有且仅有其执行岗位所足够的许可和权限
D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
50.在?
信息系统灾难恢复规?
中,根据___要素,X灾难恢复等级划分为___X.
A.7;6
B.8;7
C.7;7
D.8;6
51.灾难发生时,系统和数据必须恢复到的______为恢复点目标〔〕
A.时间要求
B.时间点要求
C.数据状态
D.运行状态
52.根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的选项是:
A.系统级演练、业务级演练、应用级演练
B.系统级演练、应用级演练、业务级演练
C.业务级演练、应用级演练、系统级演练
D.业务级演练、系统级演练、应用级演练
53.下面对能力成熟度模型解释最准确的是:
A.它认为组织的能力依赖于严格定义、管理完善、可测可控的有效业务过程
B.它通过严格考察工程成果来判断工程能力
C.它与统计过程控制理论的出发点不同,所以应用于不同领域
D.它是随着信息平安的开展而诞生的重要概念
54.下面对于SSE—CMM保证过程的说话错误的选项是:
A.保证是指平安需求得到满足的可信任程度
B.信任程度来自于对平安工程过程结果的判断
C.自验证与证实平安的主要手段包括观察、论证、分析和测试
D.PA“建立保证论据〞为PA“验证与证实平安〞提供了证据支持
55.SSE—CMM工程过程区域中的风险过程包含哪些过程区域?
A.评估威胁、评估脆弱性、评估影响
B.评估威胁、评估脆弱行、评估平安风险
C.评估威胁、评估脆弱性、评估影响、评估平安风险
D.评估威胁、评估脆弱性、评估影响、验证和证实平安
56.按照SSE—CMM,能力级别第三级是指:
A.定量控制
B.方案和跟踪
C.持续改良
D.充分定义
57.一个组织的系统平安能力成熟度到达哪个级别以后,就可以考为过程域〔PA〕的实施提供充分的资源?
A.2级——方案和跟踪
B.3级——充分定义
C.4级——量化控制
D.5级——持续改良
58.在IT工程管理中为了保证系统的平安性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进展校验可以实现的平安目标:
A.防止出现数据围以外的值
B.防止出现错误的数据处理顺序
C.防止缓冲区溢出攻击
D.防止代码注入攻击
59信息平安工程经理工程师不需要做的工作是
A编写响应测试方案
B审核相应测试方案
C参与响应测试过程
D审核响应测试资质
60.国际标准化组织ISO下属208个技术委员会〔TCs〕,531个分技术委员会〔SCs〕,2378个工作组〔WGs〕,其中负责信息平安技术标准化的组织是:
A.ISO/IEC
B.ISO/IECJTC1
C.ISO/IECJTC1/SC27
D.ISO/IECJTC1/SC37
61.________是目前国际通行的信息技术产品平安性评估标准?
A.TCSEC
B.ITSEC
C.CC
D.IATF
62.以下对确定信息系统的平安保护等级理解正确的选项是:
A.信息系统的平安保护等级是信息系统的客观属性
B.确定信息系统的平安保护等级时应考虑已采取或将采取的平安保护措施
C.确定信息系统的平安保护等级时应考虑风险评估的结果
D.确定信息系统的平安保护等级时应仅考虑业务信息的平安性
63.下面哪个不是ISO27000系列包含的标准?
A.?
信息平安管理体系要求?
B.?
信息平安风险管理?
C.?
信息平安度量?
D.?
信息平安评估规?
64.以下哪一个关于信息平安评估的标准最先明确了性,完整性和可用性三项信息平安特征
AITSEC
BTCSEC
CGB/TB9387.2
D彩虹系列的橙皮书
65.目前,我国信息平安管理格局是一个多方“齐抓共管〞的体制,〔计算机信息系统国家联网管理规定〕是由以下哪个部门所指定的
A公安部
B国家局
C信息产业部
D国家密码管理委员会办公室
66.下面有关我国信息平安管理体制的说法错误的选项是:
A.目前我国的信息平安保障工作是相关部门各司其职、相互配合、齐抓共管的局面
B.我国的信息平安保障工作综合利用法律、管理和技术的手段
C.我过的信息平安管理成坚持及时检测、快速响应、综合治理的方针
D.我国对于信息平安责任的原那么是谁主管、谁负责、谁经营、谁负责
67.以下哪一项不是我国与信息平安有关的国家法律?
A.?
信息平安等级保护管理方法?
B.?
中华人民国保守国家秘密法?
C.?
中华人民国刑法?
D.?
中华人民国国家平安法?
68.触犯新刑法285条规定的非法侵入计算机系统罪可判处______。
A.三年以下有期徒刑或拘役
B.1000元罚款
C.三年以上五年以下有期徒刑
D.10000元罚款
69.以下哪个不是?
商用密码管理条例?
规定的容?
A.国家密码管理委员会及其办公室〔简称密码管理机构〕主管全国的商用密码管理工作
B.商用密码技术术语国家秘密,国家对商用密码产品的科研、生产、销售秘密XX行专空管理
C.商用密码产品由国家密码管理机构许可的单位销售
D.个人可以使用经国家密码管理机构认可之外的商用密码产品
70.tcp/IP协议的4层网络模型是?
A应用层、传输层、网络层和物理层
B应用层、传输层、网络层和网络接口层
C应用层、数据链路层、网络层和网络接口层
D会话层、数据连接层、网络层和网络接口层
71什么设备可以隔离ARP播送帧。
A路由器
B网桥
C以太网交换机
D集线器
72以下那一项不是应用层防火墙的特点?
A更有效的阻止应用层攻击
B工作在OSI模型的第七层
C速度快且对用户透明
D比拟容易进展审计
73桥接或透明模式是目前比拟流行的防火墙部署方式,这种
方式-------?
A不需要对原有的网络配置进展修改
B性能比拟高
C防火墙本身不容易受到攻击
D易于在防火墙上实现NAT
74以下哪一项不是IDS可以解决的问题:
A弥补网络协议的弱点
B识别和报告对数据文件的改动
C统计分析系统中异常活动模式
D提升系统监控能力
75作为一个组织中的信息系统普通用户,以下那一项为哪一项不应
该了解的?
A谁负责信息平安管理制度的制定和发布
B谁负责监视平安制度的执行
C信息系统发生灾难后,进展恢复工作的具体流程
D如果违反了平安制度可能会受到惩罚措施
76以下哪一项为哪一项DOS攻击的一个实例?
ASQL注入
BIPSoof
CSmurf攻击
D字典破解
77下面一行是某个UNIX文件的详情,关于该文件权限的描
述不正确的选项是‘drwxr—xrwx2groupuser409605-05
09:
14file
A这是一个目录,名称是‘file’
B文件属组是group
C“其他人〞对该文件具有读、写、执行权限
Duser的成员对此文件没有写权限
78以下哪一组是Orecle数据库的默认用户名和默认口令?
A用户名:
Scott;口令:
tiger
B用户名:
‘sa’:
口令:
null
C用户名:
‘ROOT’口令:
null
D用户名:
‘ADMIN’口令:
null
79下面把一项最准确的阐述了平安监测措施和平安审计措
施之间的区别?
A审计措施不能自动执行,而监测措施可以自动执行
B监测措施不能自动执行,而审计措施可以自动执行
C审计措施使一次性地或周期性进展,而审计措施是实时地
进展
D监测措施是指一次性地或周期性地进展,而审计措施是实
时地进展
80口令是验证用户身份的最常用手段,以下那一种口令的风
险影响围最大-----------?
A长期没有修改的口令
B过短的口令两个人公用的口令
C两个人公用的口令
D设备供给商提供的默认口令
81以下那一项为哪一项对信息系统经常不能满足用户需求的最好
解释
A没事适当的质量管理工具
B经常变化的用户需求
C用户参与需求挖掘不够
D工程管理能力不强
82“配置管理〞是系统工程中的重要概念。
它在软件工程和
信息平安工程中得“配置管理〞的解释最准确的是?
A配置管理的本质是变更流程管理
B配置管理是一个对系统〔包括软件、硬件、文档、测试设备,开发-----行控制的过程
C管理配置是对信息系统的技术参数进展管理
D管理配置是对系统基线和源代码的版本进展管理
83根据?
信息系统平安保障评估框架第四局部:
工程保障?
平安工程过程
A未实施、根本实施、方案跟踪、量化控制、充分定义和持续改良
B未实施、根本实施、方案跟踪,充分定义、量化控制和持续改良
C根本实施、方案跟踪、充分定义、量化控制和持续改良等5个
D根本实施、方案跟踪、量化控制、充分定义和持续改良等5个
84何种情况下,一个组织应当对公众和媒体公告其信息系统中发生的信息平安-----------?
A当信息平安事件的负面影响扩展到本组织以外时
B只要发生了平安事件就应当公告
C只有公众的生命财产平安受到巨大危害时才公告
D当信息平安事件平息之后
85一家商业公司的发生黑客非法入侵和攻击事件后,应及时向那一家--------------?
A公安部公共信息网络平安监察及其各地相应部门
B国家计算机网络与信息平安管理中心
C互联网平安协会
D信息平安产业商会
86为中国信息平安测评中心cisp注册信息平安专业人员,对通过cisp之外还需要满足一根本要求,以下哪一项不属于这些根本要求:
A满足注册信息平安人员〔cisp〕注册资质的教育背景要求
B同意并遵守注册信息平安专业人员〔cisp〕执业准那么
C在政府机关或重要信息系统的主管后运营单位从事信息平安保障工作或为其提供平安
D参加并完成由中国信息平安测评中心〔ITSEC〕授权培训机构组织的注册信息平安专业人员〔cisp〕专业培训
87以下信息平安的认识不正确的选项是:
A平安是会随时间的推移而变化
B世上没有100%的平安
C合理的投资加可识别的风险即为平安
D平安是相对的,不平安是绝对的
88关于加密算法的应用围,说话正确的有〔〕
ADSS用于数字签名,RSA用于加密和签名
BDSS用于密钥交换,IDEA用于加密和签名
CDSS用于数字签名,MD5用于加密和签名
DDSS用于加密和签名,MD5用于完整性效验
89下面哪种VPN技术工作的网络协议层次最高:
AIPSECVPN
BSSLVPN
CL2TPVPN
D
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISP 试题 答案 四套