信息安全CISP考试前综合模拟题带答案200题第12套.docx
- 文档编号:7536322
- 上传时间:2023-01-24
- 格式:DOCX
- 页数:72
- 大小:850.97KB
信息安全CISP考试前综合模拟题带答案200题第12套.docx
《信息安全CISP考试前综合模拟题带答案200题第12套.docx》由会员分享,可在线阅读,更多相关《信息安全CISP考试前综合模拟题带答案200题第12套.docx(72页珍藏版)》请在冰豆网上搜索。
信息安全CISP考试前综合模拟题带答案200题第12套
[单选题]
1.
关于信息安全策略的说法中,下面说法正确的是:
A)信息安全策略的制定是以信息系统的规模为基础
B)信息安全策略的制定是以信息系统的网络拓扑结构为基础
C)信息安全策略是以信息系统风险管理为基础
D)在信息系统尚未建设完成之前,无法确定信息安全策略
答案:
C
解析:
2.
以下哪个问题不是导致DNS欺骗的原因之一?
(1.0分)
A)DNS是一个分布式的系统
B)为提高效率,DNS查询信息在系统中会缓存
C)DNS协议传输没有经过加密的数据
D)DNS协议是缺乏严格的认证
答案:
A
解析:
3.
从历史演进来看,信息安全的发展经历了多个阶段,其中,有一个阶段的特点是:
网络信息系统逐步形成,信息安全注重保护信息在存储、处理和传输过程中免受非授权的访问,开始使用防火墙、防病毒、PKI和VPN等安全茶产品。
这个阶段是?
(1.0分)
A)通信安全阶段
B)计算机安全阶段
C)信息系统安全阶段
D)信息安全保障阶段
答案:
C
解析:
4.
方法指导类标准主要包括GB/T_25058-2010_《信息安全技术_信息系统安全等级保护实施指南》GB/T25070-2010《信息系统等级保护安全设计技术要求》等。
其中《等级保护实施指南》原以()政策文件方式发布,后修改后以标准发布。
这些标准主要对如何开展()做了详细规定。
状况分析类标准主要包括GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》和GB/T284492012《信息安全技术信息系统安全等级保护测评过程指南》等。
其中在()工作期间还发布过《等级保护测评准则》等文件,后经过修改以《等级保护测评要求》发布。
这些标准主要对如何开展()工作做出了()
A)公安部;等级保护试点;等级保护工作;等级保护测评;详细规定
B)公安部;等级保护工作;等级保护试点;等级保护测评;详细规定
C)公安部;等级保护工作;等级保护测评;等级保护试点;详细规定
D)公安部:
等级保护工作;等級保护试点详细规定等级保护测评
答案:
C
解析:
5.
基于网络的入侵检测系统的信息源是_______。
A)系统的审计日志
B)事件分析器
C)应用程序的事务日志文件
D)网络中的数据包
答案:
D
解析:
6.
在典型的web应用站点的层次结构中,?
中间件?
是在哪里运行的?
A)浏览器客户端
B)web服务器
C)应用服务器
D)数据库服务器
答案:
C
解析:
7.
基于对()的信任,当一个请求成命令来自一个?
权威?
人士时,这个请求就可能被毫不怀疑的(),在()中,攻击者伪装成?
公安部门?
人员,要求受害者转账到所谓?
安全账户?
就是利用了受害者对权威的信任。
在()中,攻击者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者执行操作,例如伪装成系统管理员,告诉用户请求配合进行一次系统测试,要求()等。
A)权威;执行;电信诈骗;网络攻击;更改密码
B)权威;执行;网络攻击;电信诈骗;更改密码
C)执行;权威;电信诈骗;网络攻击;更改密码
D)执行;权威;网络攻击;电信诈骗;更改密码
答案:
A
解析:
8.
网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应针对可能发生的重大网络与信息系统突发事件,预先制定的行动计划或应急对策。
应急预案的实施需要各子系统的相互配合与协调,下面应急响应工作流程图中,空白方框中从右到左依次填入的是()
A)应急响应专家小组、应急响应技术保障小组、应急响应实施小组、应急响应日常运行小组
B)应急响应专家小组、应急响应实施小组、应急响应技术保障小组、应急响应日常运行小组
C)应急响应技术保障小组、应急响应专家小组、应急响应实施小组。
应急响应日常运行小组
D)应急响应技术保障小组、应急响应专家小组、应急响应日常运行小组、应急响应实施小组
答案:
A
解析:
9.
不是计算机病毒所具有的特点____。
()
A)传染性
B)破坏性
C)潜伏性
D)可预见性
答案:
D
解析:
10.
在确定威胁的可能性时,可以不考虑以下哪个?
A)威胁源
B)潜在弱点
C)现有控制措施
D)攻击所产生的负面影响
答案:
D
解析:
11.
国家科学技术秘密的密级分为绝密级、机密级、秘密级.以下哪项属于绝密级的描述?
(1.0分)
A)处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的
B)能够局部反应国家防御和治安实力的
C)我国独有、不受自然条件因素制约、能体现民族特色的精华,并且社会效益或者经济效益显著的传统工艺
D)国际领先,并且对国防建设或者经济建设具有特别重大影响的
答案:
D
解析:
12.
怎样安全上网不中毒,现在是网络时代了,上网是每个人都会做的事,但网络病毒直是比较头疼的,电脑中毒了也比较麻烦。
某员工为了防止在上网时中毒,使用了影子系统,他认为恶意代码会通过以下方式传播,但有一项是安全的,请问是()
A)网页挂马
B)利用即时通讯的关系链或伪装P2P下载资源等方式传播到目标系统中
C)Google认证过的插件
D)垃圾邮件
答案:
C
解析:
13.
下列对标识和鉴别的作用说法不正确的是:
A)它们是数据源认证的两个因素
B)在审计追踪记录时,它们提供与某一活动关联的确知身份
C)标识与鉴别无法数据完整性机制结合起来使用
D)作为一种必要支持,访问控制的执行依赖于标识和鉴别确知的身份
答案:
C
解析:
14.
入侵检测系统在进行信号分析时,一般通过三种常用的技术手段,
以下哪一种不属于通常的三种技术手段:
()
A)模式匹配
B)统计分析
C)完整性分析
D)密文分析
答案:
D
解析:
15.
计算机取证的合法原则是:
A)计算机取证的目的是获取证据,因此首先必须确保证据获取再履行相关法律手续
B)计算机取证在任何时候都必须保证符合相关法律法规
C)计算机取证只能由执法机构才能执行,以确保其合法性
D)计算机取证必须获得执法机关的授权才可进行以确保合法性原则
答案:
C
解析:
16.
恢复时间目标(RecoveryTimeObjective,RTO)和恢复点目标(RecoveryPointObjective,RPO)是业务连续性和灾难恢复工作中的两个重要指标,随着信息系统越来越重要和信息技术越来越先进,这两个指标的数值越来越小。
小华准备为其工作的信息系统拟定RTO和RPO指标,则以下描述中,正确的是()。
(1.0分)
A)RTO不可以为0,RPO也不可以为0
B)RTO不可以为0,RPO可以为0
C)RTO可以为0,RPO也可以为0
D)RTO可以为0,RPO不可以为0
答案:
C
解析:
17.
IS017799/IS027001最初是由____提出的国家标准。
()
A)美国
B)澳大利亚
C)英国
D)中国
答案:
C
解析:
18.
测试程序变更管理流程时,安全管理体系内审员使用的最有效的方
法是:
A)由系统生成的信息跟踪到变更管理文档
B)检查变更管理文档中涉及的证据的精确性和正确性
C)由变更管理文档跟踪到生成审计轨迹的系统
D)检查变更管理文档中涉及的证据的完整性
答案:
A
解析:
19.
在网络安全体系构成要素中?
响应?
指的是()。
A)环境响应和技术响应
B)一般响应和应急响应
C)系统响应和网络响应
D)硬件响应和软件响应
答案:
B
解析:
20.
以下哪一项是首席安全官的正常职责?
A)定期审查和评价安全策略
B)执行用户应用系统和软件测试与评价
C)授予或废除用户对IT资源的访问权限
D)批准对数据和应用系统的访问权限
答案:
B
解析:
21.
可信计算技术不能:
A)确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击
B)确保密钥操作和存储的安全
C)确保硬件环境配置、操作系统内核、服务及应用程序的完整性
D)使计算机具有更高的稳定性
答案:
D
解析:
22.
对于信息安全风险的描述不正确的是
A)企业信息安全风险管理就是要做到零风险
B)在信息安全领域,风险就是指信息资产遭受损坏并给企业带来负面影
响及其潜在可能性
C)风险管理就是以可接受的代价,识别、控制、减少或消除可能影响信
息系统的安全风险的过程。
D)风险评估就是对信息和信息处理设施面临的威胁、受到的影响、存在
的弱点以及威胁发生的可能性的评估。
答案:
A
解析:
23.
下面哪一层可以实现编码,加密
A)传输层
B)会话层
C)网络层
D)物理层
答案:
B
解析:
24.
路由器工作在OSI的哪一层
A)传输层
B)数据链路层
C)网络层
D)应用层
答案:
C
解析:
25.
某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
(1.0分)
A)在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中
B)严格设置Web日志权限,只有系统权限才能进行读和写等操作
C)对日志属性进行调整,加大日志文件大小、延长日志覆盖时间、设置记录更多信息等
D)使用独立的分区用于存储日志,并且保留足够大的日志空间
答案:
A
解析:
26.
以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?
(1.0分)
A)提高信息技术产品的国产化率
B)保证信息安全资金投入
C)加快信息安全人才培养
D)重视信息安全应急处理工作
答案:
A
解析:
27.
部署互联网协议安全虚拟专用网(InternetprotocolSecurityvirtualPrivateNetworkIPsecVPN)时。
以下说法正确的是:
A)配置MD5安全算法可以提供可靠地数据加密
B)配置AES算法可以提供可靠的数据完整性验证
C)部署IPsecVIPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(SecurityAuthentication,SA)资源的消耗
D)报文验证头协议(AuthenticationHeader,AH)可以提供数据机密性
答案:
C
解析:
28.
公共交换电话网络?
是一种语音通信电路交换网络,目前在技术-------它的英文缩写是:
A)PSTN
B)DDN
C)ISDN
D)ATM
答案:
A
解析:
29.
假设使用一种加密算法,它的加密方法很简单:
将每一个字母加5,即a加密成f。
这
种算法的密钥就是5,那么它属于()。
A)对称加密技术
B)分组密码技术
C)公钥加密技术
D)单向函数密码技术
答案:
A
解析:
30.
信息资产面临的主要威胁来源主要包括
A)自然灾害
B)系统故障
C)内部人员操作失误
D)以上都包括
答案:
D
解析:
31.
安全模型是用于精确和形式地描述信息系统的安全特征,解释系统安全相关行为。
关于它的作用描述不正确的选项是?
A)准确的描述安全的重要方面与系统行为的关系。
B)开发出一套安全性评估准则,和关键的描述变量。
C)提高对成功实现关键安全需求的理解层次。
D)强调了风险评估的重要性。
答案:
D
解析:
32.
数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技术来确保正确的传输,确保解决该层的流量控制问题,数据链路层的数据单元是()
A)报文
B)比特流
C)帧
D)包
答案:
C
解析:
33.
以下对Kerberos协议过程说法正确的是;().
A)协议可以分为两个步骤;一是用户身份鉴别,二是获取请求服务
B)协议可以分为两个步骤;一是获得票据许可票据;二是获取请求服务
C)协议可以分为三个步骤;一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可票据
D)协议可以分为三个步骤;一是获得票据许可票据;二是获得服务许可票据;三是获得服务
答案:
D
解析:
34.
ISO/IBC27001《信息技术安全技术信息安全管理体系要求》的内容是基于(1.0分)
A)BS7799-1《信息安全实施细则》
B)BS7799-2《信息安全管理体系规范》
C)信息技术安全评估准则(简称ITSEC)
D)信息技术安全评估通用标准(简称CC)
答案:
B
解析:
35.
____是PKI体系中最基本的元素,PKI系统所有的安全操作都是通过该机制采实
现的。
()
A)SSL
B)IARA)
C)RA)
D)数字证书
答案:
D
解析:
36.
以下哪项不属于信息系统安全保障模型包含的方面?
A)保障要素。
B)生命周期。
C)安全特征。
D)通信安全。
答案:
D
解析:
37.
6.关于公钥基础设施/认证中心(PKI/CA〕证书,下面哪一种说法是错误的:
(1.0分)
A)证书上具有证书授权中心的数字签名
B)证书上列有证书拥有者的基本信息
C)证书上列有证书拥有者的公开密钥
D)证书上列有证书拥有者的秘密密钥
答案:
D
解析:
38.
在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大
风险是:
A)非授权用户可以使用ID擅自进入.
B)用户访问管理费时.
C)很容易猜测密码.
D)无法确定用户责任
答案:
D
解析:
39.
下面关于ISO27002的说法错误的是:
A)ISO27002的前身是ISO17799-1
B)ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部
C)ISO27002对于每个控制措施的表述分?
控制措施?
,?
实施指南?
和?
其他信息?
三个部分来进行描述
D)ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施
答案:
D
解析:
40.
实施逻辑访问安全时,以下哪项不是逻辑访问?
A)用户ID。
B)访问配置文件。
C)员工胸牌。
D)密码。
答案:
C
解析:
41.
关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别,下面描述正确的是?
(1.0分)
A)WPA是有线局域安全协议,而WPA2是无线局域网协议
B)WPA是适用于中国的无线局域安全协议,而WPA2适用于全世界的无线局域网协议
C)WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证
D)WPA是依照802.111标准草案制定的,而WPA2是依照802.111正式标准制定的
答案:
D
解析:
42.
国务院信息化工作办公室于2004年9月份下发了《关于做好重要信息系统灾难备份工作的通知》,该文件中指出了我国在灾备工作原则,下面哪项不属于该工作原则
A)统筹规划
B)分级建设
C)资源共享
D)平战结合
答案:
B
解析:
43.
关于我国信息安全保障的基本原则,下列说法中不正确的是:
A)要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行做法,坚持管理与技术并重
B)信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方
C)在信息安全保障建设的各项工作中,既要统筹规划,又要突出重点
D)在国家信息安全保障工作中,要充分发挥国家、企业和个人的积极性,不能忽视任何一方的作用
答案:
A
解析:
44.
40.为了进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),对等级保护工作的开展提供宏观指导和约束。
明确了等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等。
关于该文件,下面理解正确的是?
(1.0分)
A)该文件是一个由部委发布的政策性文件,不属于法律文件
B)该文件适用于2004年的等级保护工作。
其内容不能约束到2005年及之后的工作
C)该文件是一个总体性指导文件,规定了所有信息系统都要纳入等级保护定级范围
D)该文件适用范围为发文的这四个部门,不适用于其他部门和企业等单位
答案:
A
解析:
45.
下面国家秘密定级和范围的描述中,哪项不符合《保守国家秘密法》要求?
A)国家秘密机密级的具体范围,由国家保密工作部门分别会同外交、公安、国家安全和其他有关机关规定
B)各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定确定密级
C)对是否属于国家秘密和属于何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,然后上报国家保密工作部门确定
D)对是否属于国家秘密和属于何种密级不明确的事项,由国家保密工作部门,省、自治区
答案:
C
解析:
46.
信息安全领域内最关键和最薄弱的环节是____。
A)技术
B)策略
C)管理制度
D)人
答案:
D
解析:
47.
以下《关于加强政府信息安全和保密管理工作的通知》和《关于印发政府信息系统安全检查办法》错误的是:
(1.0分)
A)明确检查方式?
以自查为主、抽查为辅?
,按需要进行技术检测;
B)明确对信息安全工作?
谁主管谁负责、谁运行谁负责、谁使用谁负责?
;
C)明确安全管理措施和手段必须坚持管理制度加技术手段;
D)明确工信部具体负责组织检查
答案:
D
解析:
48.
关于信息安全事件管理和应急响应,以下说法错误的是:
(1.0分)
A)应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B)应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段
C)对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
D)根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别:
特别重大事件(I级)、重大事件(II级)、较大事件(III级)和一般事件(IV级)
答案:
B
解析:
49.
CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性?
A)结构的开放性,即功能和保证要求都可以在具体的?
保护轮廓?
和?
安全目标?
中进一步细化和扩展
B)表达方式的通用性,即给出通用的表达方式
C)独立性,它强调将安全的功能和保证分离
D)实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中
答案:
C
解析:
CC标准前身是ITSEC,该标准在90年代就提出了安全功能和保证的分离,而CC标准是继承了ITSEC标准的优势,因此并不作为CC标准的先进性。
50.
小陈学习了有关信息安全管理体系的内容后,认为组织建立信息安全管理体系并持续运行,比起简单地实施信息安全管理,有更大的作用,他总结了四个方面的作用,其中总结错误的是?
(1.0分)
A)可以建立起文档化的信息安全管理规范,实现有?
法?
可依,有章可循,有据可查
B)可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
C)可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心
D)可以深化信息安全管理,提高安全防护效果,使组织通过国际标准化组织的ISO9001认证
答案:
D
解析:
51.
在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A)加密
B)数字签名
C)访问控制
D)路由控制
答案:
B
解析:
52.
为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是(1.0分)
A)渗透测试从?
逆向?
的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
B)由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
C)渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
D)为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
答案:
D
解析:
53.
对SET软件建立了一套测试的准则。
_______
A)SETCo
B)SSL
C)SETToolkit
D)电子钱包
答案:
A
解析:
54.
以下哪一项是基于一个大的整数很难分解成两个素数因数?
A)ECC
B)RSA
C)DES
D)D-H
答案:
B
解析:
55.
以下描述中不属于SSH用途的为?
A)用于远程的安全管理,使用SSH客户端连接远程SSH服务器,建立安全的Shell交互环境
B)用于本地到远程隧道的建立,进而提供安全通道,保证某些业务安全传输
C)进行对本地数据使用SSH的秘钥进行加密报错,以提高其业务的可靠性
D)远程安全数据复制借助SSH协议进行传输,SSH提供其安全隧道保障
答案:
C
解析:
56.
以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?
A)提高信息技术产品的国产化率
B)保证信息安全资金注入
C)加快信息安全人才培养
D)重视信息安全应急处理工作
答案:
A
解析:
57.
若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求,其信息安全控制措施通常在以下方面实施常规控制,不包括哪一项?
(1.0分)
A)信息安全方针、信息安全组织、资产管理
B)人力资源安全、物力和环境安全、通信和操作管理
C)访问控制、信息系统获取、开发和维护、符合性
D)规划与建立ISMS
答案:
D
解析:
58.
某单位系统管理员对组织内核心资源的访问策略,针对每个用户指明能够访问的资源,对于不在制定资源列表中的对象不允许访问,该访问控制策略属于以下哪一种?
(1.0分)
A)强制访问控制
B)基于角色的访问控制
C)自主访问控制
D)基于任务的访问控制
答案:
A
解析:
59.
以下哪项不是风险评估阶段应该做的?
(1.0分)
A)对ISMS范围的信息资产进行鉴定和估价。
B)对信息资产面对的各种威胁和脆弱性进行评估。
C)对已存在的或规划的安全控制措施进行界定。
D)根据评估结果实施相应的安全控制措施。
答案:
D
解析:
60.
在设计某公司技术性的恢复策略时,以下哪个方面是安全人员最
为关注的?
A)目标恢复时间RTO
B)业务影响分析
C)从严重灾难中恢复的能力
D)目标恢复点RPO
答案:
B
解析:
61.
渗透测试作为网络安全评估的一部分
A)提供保证所有弱点都被发现
B)在不需要警告所有组织的管理层的情况下执行
C)找到存在的能够
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 CISP 考试 综合 模拟 答案 200 12