《2021年CISP练习题汇总.docx》由会员分享,可在线阅读,更多相关《2021年CISP练习题汇总.docx(88页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、CISP习题汇总问题29在Windows系统中,存在默认共享功能,方便了局域网用户使用,但对个人用户来说存安全风险。如果电脑联网, 网络上的任何人都可以通过共享使用或修改文件。小刘在装有WindowsXP系统的计算机上进行安全设置时, 需要关闭默认共享。下列选项中,不能关闭默认共享的操作是()A.将“HKEY_LOCAL_MACHINESYSTEMCuirentControlSetServiceslenmanserverparaneters”项中依T Autodisconnect”项键值改为0B.将“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic
2、eslenmanserverparaneters”项中的“AutoShareServer”项键值改为0C.将“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslenmanserverparaneters”项中的“AutoShareWk 5项键值改为0D.在命令窗口中输入命令,删除C盘默认共享:netshareC/del正确答案:A .r.早节:(none)Ex planation说明/参考: 问题30从Linux内核2.1版开始,实现了基于权能的特权管理机制,实现了超级用户的特权分割,打破了UNIX/LINUX操作系统中超级用户/普通用户的概念
3、,提高了操作系统的安全性。下列选项中,对特权管理机制的 理解错误的是()A.普通用户及其shell没有任何权能,而超级用户及其shell在系统启动之初拥有全部权能B.系统管理员可以剥夺和恢复超级用户的某些权能C.进程可以放弃自己的某些权能D.当普通用户的某些操作涉及特权操作时,仍然通过setuid实现正确答案:B音节:(none)Explanation说明/参考: 问题31关于数据库恢复技术,下列说法不正确的是:A.数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利 用冗余数据来进行修复B.数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另
4、一个磁盘上保存起来,是数据库恢复中 采用的基本技术C.日志文件在数据库恢复中起着非常重要的作用,可以用来进行事物故障恢复和系统故障恢复,并协助后备副 本进行介质故障恢复D.计算机系统发生故障导致数据未存储到固定存储器上,利用日志文件中故障发生前数据的值,将数据库恢复 到故障发生前的完整状态,这一对事务的操作称为提交正确答案:D 音.节:(none)Ex planation说明/参考: 问题32关系数据库的完整性规则是数据库设计的重要内容,下面关于“实体完整性”的描述正确的是()早节:(none)Ex planation说明/参考:问题330规范的实施流程和文档管理,是信息安全风险评估能否取得成
5、果的重要基础。某单位在实施风险评估时,按照规 范形成了若干文档,其中,下面()中的文档应属于风险评估中“风险要素识别”阶段输出的文档。A.风险评估方案,主要包括本次风险评估的目的,范围.目标.评估步骤,经费预算和进度安排等内容B.风险评估方法和工具列表,主要包括拟用的风险评估方法和测试评估工具等内容C.风险评估准则要求,主要包括现有风险评估参考标准,采用的风险分析方法.资产分类标准等内容D.已有安全措施列表,主要包括经检查确认后的已有技术和管理各方面安全措施等内容正确答案:D章节:(none)Explanation说明/参考:问题331作为单位新上任的CSO,你组织了一次本单位的安全评估工作以
6、了解单位安全现状。在漏洞扫描报告中,你 发现了某部署在内网且对内部服务的业务系统存在一个漏洞,对比上一年度的漏洞扫描报告,发现这个漏洞之前已 经报告出来,经询问安全管理员得知,这个业务系统开发商已经倒闭,因此无法修复。对于这个问题,你应该如 何处理()A.向公司管理层提出此问题,要求立即立项重新开发此业务系统,避免单位中存在这样的安全风险B.既然此问题不是新发现的问题,之前已经存在,因此与自己无关,可以不予理会C.让安全管理人员重新评估此漏洞存在的安全风险并给出进一步的防护措施后再考虑如何处理D.让安全管理员找出验收材料看看有没有该业务系统源代码,自己修改解决这个漏洞正确答案:C节:(none
7、)Explanation说明/参考:问题332王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他依据已有的资产列表, 逐个分析可能危害这些资产的主体.冬季.途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋 值。请问,他这个工作属于下面哪一个阶段的工作()A.资产识别并赋值B.脆弱性识别并赋值C.威胁识别并赋值D.确认已有的安全措施并赋值正确答案:C早节:(none)Explanation说明/参考:问题333()第二十三条规定存储.处理国家秘密的就计算机信息系统(以下简称泄密信息系统)按照()实行分级保护。()应当按照国家保密标准配备保密设施.设
8、备。().设备应当与涉密信息系统同步规划.同步建设.同步运行(三同步)。涉密信息系统应当按照规定,经()后,方可投入使用。A.保密法:涉密程度;涉密信息系统;保密设施;检查合格B.国家保密法;涉密程度;涉密系统;保密设施;检查合格C.网络保密法;涉密程度;涉密系统;保密设施;检查合格D.安全保密法;涉密程度;涉密信息系统;保密设施;检查合格正确答案:AT:(none)Ex planation说明/参考:问题334Kerberos协议是常用的集中访问控制协议,通过可信第三方的认证服务,减轻应用服务器的负担。Kerberos的运行 环境由密钥分发中心(KDC).应用服务器和客户单三个部分组成。其中
9、,KDC分为认证服务AS和票据授权服务 器TGS两部分。下图展示了Kerberos协议的三个阶段,分别为(1) Kerberos获得服务许可票据,(2) Kerberos获得服务,(3) Kerberos获得票据许可票据。下列选项中,对这三个阶段的排序正确的是()SGT公话甯切由求枇务型据发f朋务KTGS(1) - (2) - (3)A. (3) - (2) - (1)(2) - (1) - (3)B. (3) - (1) - (2)正确答案:D章节:(none)Ex planation说明/参考:问题335企业安全架构(SherwoodAppliedBusinessSecurityArchi
10、tecture,SABSA)是企业架构的一个子集,它定义了(),包括各层级的().流程和规程,以及它们与整个企业的战略.战术和运营链接的方式,用全面的.严格 的方法描述了组成完整的信息安全管理体系(ISMS)所有组件的()o开发企业安全架构的很主要原因是 确保安全工作以一个标准化的节省成本的方式与业务实践相结合。架构在抽象层面工作,它提供了一个()o除了安全性之外,这种类型的架构让组织更好的实现().集成性,易用性,标准化和便于治理性。A.信息安全战略;解决方案;结构和行为;可供参考的框架;互操作性;B.信息安全战略;结构和行为;解决方案;可供参考的框架;互操作性; C.信息安全战略;解决方案
11、;可供参考的框架;结构和行为;互操作性; D.信息安全战略;可供参考的框架;解决方案;结构和行为;互操作性正确答案:B章节:(none)Explanation说明/参考: 问题336某贸易公司的0A系统由于存在系统漏洞,被攻击者上传了木马病毒病删除了系统中的数据,由于系统备份是每周 六进行一次,时间发生时间为周三,因此导致该公司三个工作日的数据丢失并使得0A系统在随后两天内无法访问, 影响到了与公司有业务往来部分公司业务。在事故处理报告中,根据GB/Z20986-2007信息安全事件分级分类 指南,该事件的标准分类和定级应该是()A.有害程序事件特别重大事件(I级)B.信息破坏事件重大事件(I
12、I级)C.有害程序事件较大事件(III级)D.信息破坏事件一般事件(IV级)正确答案:D章节:(none)Explanation说明/参考: 问题337在PDR模型的基础上发展成为(Policy-Protection-Detection-Response,PPDR)模型,即策略-防护检测-响 应。模型的核心是:所有的防护.检测.响应都是依据安全策略实施的。在PPDR模型中,策略指的是信息系统的 安全策略,包括访问控制策略.加密通信策略.身份认证策略.备份恢复策略等。策略体系的建立包括安全策略的 制定.()等;防护指的是通过部署和采用安全技术来提高网络的防护能力,如().防火墙,入侵检测.加密技
13、术. 身份认证等技术;检测指的是利用信息安全检测工具,监视,分析.审计网络活动,了解判断网络系统的O o检测这一环节,使安全防护从被动防护演进到主动防御,是整个模型动态性的体现。主要方法包括:实时监控. 检测.报警等;响应指的是在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的()调整到风险 最低的状态,包括饮复系统功能和数据,启动备份系统等。其主要方法包括:关闭服务.跟踪.反击.消除影响等A.评估与执行;访问控制;安全状态;安全性B.评估与执行;安全状态;访问控制;安全性C.访问控制;评估与执行;安全状态;安全性D.安全状态;评估与执行;访问控制;安全性正确答案:A章节:(none
14、)Explanation说明/参考: 问题338根据信息安全等级保护管理办法.关于开展信息安全等级保护测评体系建设试点工作的通知公信安 2009812号).关于推动信息安全等级保护()建设和开展()工作的通知(公信安2010303号)等文件,由公安 部()对等级保护测评机构管理才妾受测评机构的申请.考核和定期(),对不具备能力的测评机构则()0A.等级测评测评体系;等级保护评估中心;能力验证;取消授权 B.测评体系;等级保护评估中心;等级测评;能力验证;取消授权C.测评体系;等级测评;等级保护评估中心;能力验证;取消授权 D.测评体系;等级保护评估中心;能力验证;等级测评;取消授权正确答案:C
15、 早节:(none)Ex planation说明/参考: 问题339为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标 准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,()提出和规定了不同安全保护等级信息 系统的最低保护要求,并按照技术和管理两个方面提出了相关基本安全要求。A. GB/T22239-2008信息系统等级保护安全设计技术要求GB/T22240-2008信息系统安全保护等级定级指南B. GB/T25070-2010信息系统等级保护安全设计技术要求GB/T28449-2012信息系统安全等级保护测评过程指南正确答案:A 章T
16、:(none)Ex planation说明/参考: 问题340在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功实施非常重要,但是以下选项 中不属于管理者应有职责的是()A.制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求B.确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确,可度量,计划应具体.可实施C.向组织传达满足信息安全的重要性,传达满足信息安全要求.达成信息安全目标.符合信息安全方针.履行法 律责任和持续改进的重要性D.建立健全信息安全制度,明确安全风险管理作用,实施信息安全风险评估过程,确保信息安全风险评估技
17、术选择 合理.计算正确正确答案:D章节:(none)Explanation说明/参考: 问题341以下关于威胁建模流程步骤说法不正确的是()A.威胁建模主要流程包括四步:确定建模对象.识别威胁.评估威胁和消减威胁B.评估威胁是对威胁进行析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险C.消减威脉是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威 胁,或设计采用技术手段来消减威胁D.识别威胁是发现组件或进程存在的威胁,它可能是恶意的,也可能不是恶意的,威胁就是漏洞正确答案:D 章节:(none)Ex planation说明/参考:问题3
18、42有关系统安全工程能力成熟度模型(SSECMM),错误的理解是()A. SSE-CMM要求实施组织与其他组织相互作用,如开发.产品供应商,集成商和咨询服务商等SSE-CMM可以使安全工程成为一个确定的.成熟的和可度量的科目C.基于SSE-CMM的工程是独立工程,与软件工程.硬件工程,通信工程等分别规划实施D. SSECMM覆盖整个组织的活动。包括管理,组织和工程活动等,而不仅仅是系统安全的工程活动正确答案:CVr. 早 节:(none)Ex planation说明/参考: 问题343我国标准信息安全风险管理指南(CB/Z24364)给出了信息安全风险管理的内容和过程。可以用下图来表示, 图中
19、空白处应该填写()沟通咨询批准监督A.风险计算 B.风险评估 C.风险预测 D.风险处理正确答案:D ,立.早节:(none)Ex planation说明/参考: 问题344根据相关标准,信息安全风险管理可分为背景建立.风险评估.风险处理.批准监督.监控审查和沟通咨询等阶 段,按照该框架,文档风险分析报告应该属于那个阶段的输出成果()A.风险评估B.风险处理C.批准监督D.监控审查正确答案:D章节:(none)Explanation说明/参考:问题345根据关于开展信息安全风险评估工作的意见的规定,错误的是()A.信息安全风险评估分自评估.检查评估两形式,应以检查评估为主,自评估和检查评估相互
20、结合.互为补充B.信息安全风险评估工作要按照“严密组织.规范操作.讲求科学.注重实效,的原则开展C.信息安全风险评估应贯穿于网络和信息系统建设运行的全过程D.开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导正确答案:AT:(none)Ex planation说明/参考:问题346即使最好用的安全产品也存在(),结果,在任何的系统中敌手最终都能够找到一个被开发出的漏洞,一种有效 的对策是在敌手和它的目标之间配备多种()每一种机制都应包括()两种手段。A.安全机制;安全缺陷;保护和检测B.安全缺陷;安全机制;保护和检测C.安全缺陷;保护和检测;安全机制D.安全缺陷;安全机制;外边和内部
21、正确答案旧JStE. 早节:(none)Explanation说明/参考:问题347在国家标准,CB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型中,信 息系统安全保障模型包含哪几个方面?A.保障要素.生命周期和运行维护B.保障要素.生命周期和安全特征C.规划组织.生命周期和安全特征D.规划组织,生命周期和运行维护正确答案:B早节:(none)Ex planation说明/参考:问题348风险,在GB/T22081中定义为时态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务目标 .健康和人身安全目标.信息安全目标和环境目标等;目标也可能有不
22、同的级别,如战略目标,组织目标.项目目 标,产品目标和过程目标等。ISO/IEC13335-1中揭示了风险各要素关系模型,如图所示,请结合此图,怎么才能 降低风险对组织产生的影响?()A.B.C.D.组织应该根据风险建立响应的保护要求,通过构架防护措施降低风险对组织产生的影响;加强防护措施,降低风险;减少威胁和脆弱点,降低风险;减少资产降低风险。正确答案:AT:(none)Ex planation说明/参考:问题349有关危害国家秘密安全的行为的法律责任,正确的是()A.严重违反保密规定行为只要发生,无论是否产生泄密实际后果,都要依法追究责任;B.非法获取国家秘密,不会构成刑事犯罪,不需承担刑
23、事责任;C.过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任;D.承担了刑事责任,无需再承担行政责任和/或其他处分。正确答案:A早节:(none)Explanation说明/参考:问题350分布式拒绝服务(DistributedDenialofService,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起 来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。一般来说, DDoS攻击的主要目的是破坏目标系统的()A.保密性B.完整性C.可用性D.真实性正确答案:c 早节:(none)Ex planation说明/参考: 问题351部署互联网协议安全
24、虚拟专用网(Internet Protocol Security Virtual Private Network,IPsecVPN)时,以下 说法正确的是()A.配置MD5安全算法可以提供可靠地数据加密B.配置AES算法可以提供可靠的数据完整性验证C.部署IPsec VPN网络是,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(SecuHtyAuthentication,SA)资源的消耗D.报文验证头协议(Authentication Header,AH)可以提供数据机密性正确答案:C-音节:(none)Explanation说明/参考: 问题352为
25、了能够合理.有序地处理安全事件,应事先制定出事件应急响应方法和过程,有助于一个组织在事件发生时 阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低。PDCERF方法论是一种广泛使用 的方法,其将应急响应分为六个阶段,如下图所示,请为图中括号空白处选择合适的内容()储阶段 A ( )蚓腹原雕弟依嫡歧 躲魔A.培训阶段 B.文档阶段 C.报告阶段 D.检测阶段正确答案:D 章节:(none)Ex planation说明/参考: 问题353对于关键信息基础设施的外延范围,以下哪项是正确的()A.关键信息基础设施的认定由国家网信部门确定,网络运营者自身及上级主管部门不能认定B.关键信
26、息基础设施与等级保护三级以上系统的范围一致,对于等级保护三级以上系统就应纳入关键信息基础 设施保护范围C.关键信息基础设施的具体范围由国务院制定,鼓励网络运营者自愿参照关键信息基础设施保护标准要求开展 保护D.关键信息基础设施只限于公共通信和信息服务,能源.交通水利金融,公共服务.电子政务这七个行业,除 此以外行业的网络不能认定为关键信息基础设施正确答案:c一章,节:(none)Ex planation说明/参考: 问题354保护-监测-响应(Protection-Detection-Response,PDR)模型是()工作中常用的模型,其思想是承认() 中漏洞的存在,正视系统面临的(),通过
27、采取适度防护.加强().落实对安全事件的响应,建立对威胁的防 护来保障系统的安全。A.信息系统;信息安全保障;威胁;检测工作B.信息安全保障;信息系统;检测工作;威胁C.信息安全保障;信息系统;威胁;检测工作D.信息安全保障;威胁;信息系统;检测工作正确答案:D-产亍节:(none)Explanation说明/参考: 问题355某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,他提出了四大培训任务和目标,关于 这四个培训任务和目标,作为主管领导,以下选项中不合理的是()A.由于网络安全上升到国家安全的高度,网络安全必须得到足够的重视,因此安排了对集团公司下属单位的总 经理(一把
28、手)的网络安全法培训B.对下级单位的网络安全管理岗人员实施全面安全培训,建议通过CISP培训以确保人员能力得到保障C.对其他信息化相关人员(网络管理员.软件开发人员)也进行安全基础培训,使相关人员对网络安全有所了解D.对全体员工安排信息安全意识及基础安全知识培训,实现全员信息安全意识教育正确答案:D早节:(none)Explanation说明/参考: 问题356信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系 统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的(),向信息系统的所有相关 方提供信息系统的()能够实现其安
29、全保障策略,能够将其所面临的风险降低到其可接受的成都的主观信心。信 息系统安全保障评估的评估对象是(),信息系统不仅包含了仅讨论技术的信息技术系统,还包括同信息系 统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的过程,涉及信息系统整个(), 因此信息系统安全保障的评估也应该提供一种()的信心。A.安全保障工作;客观证据;信息系统;生命周期;动态持续;B.客观证据;安全保障工作;信息系统;生命周期;动态持续; C.客观证据;安全保障工作;生命周期;信息系统;动态持续; D.客观证据;安全保障工作;动态持续;信息系统;生命周期;正确答案:B章T:(none)Ex planat
30、ion说明/参考:问题357由于密码技术都依赖于密钥匙,因此密钥的安全管理是密钥技术应用中非常重要的环节,下列关于密钥匙管理说 法错误的是()A.科克霍夫在军事密码学中指出系统的保密性不依赖于对加密体制或算法的保密,而依赖于密钥B.在保密通信过程中,通信双方可以一直使用之前用过的会话密钥,不影响安全性C.密钥匙管理需要在安全策略的指导下处理密钥生命周期的整个过程,包括产生.存储备份.分配,更新.撤 销等D.在保密通信过程中,通信双方也可利用DiffieHelinan协议协商会话密钥进行保密通信正确答案:B早节:(none)Explanation说明/参考:A.指数据表中列的完整性,主要用于保证
31、操作的数据(记录)完整.不丢项B.指数据表中行的完整性,主要用于保证操作的数据(记录)非空.唯一且不重复C.指数据表中列必须满足某种特定的数据类型或约束,比如取值范围.数值精度等约束D.指数据表中行必须满足某种特定的数据姓雷或约束,比如在更新,插入或删除记录时,更将关联有关的记录 并处理才可以正确答案:B章T:(none)Explanation说明/参考:问题33数据在进行传输前,需要由协议自上而下对数据进行封装。TCP/IP协议中,数据封装的顺序是:A.传输层,网络接口层.互联网络层B.传输层.互联网络层.网路接口层C.互联网络层,传输层.网络接口层D.互联网络层.网络接口层,传输层正确答案
32、:B节:(none)Explanation说明/参考:问题34安全多用途互联网邮件扩展(SecureNultipurposelnternetMailPxtension,S/MIME)是指一种保障邮件安全的 技术,下面描述错误的是()A. S/MIME采用了非对称密码学机制S/MIME支持数字证书B. S/MIME采用了邮件防火墙技术S/MIME支持用户身份认证和邮件加密正确答案:C音.节:(none)Explanation说明/参考:问题35Apache HTTP Server (简称Apache)是一个开放源码的Web服务运行平台,在使用过程中,该软件默认会 将自己的软件名和版本号发送给客户
33、端。从安全角度出发,为隐藏这些信息,应当采取以下哪种措施()A.不选择Windows平台,应选择在Linux平台下安装使用B.安装后,修改配置文件http.conf中的有关参数C.安装后,删除Apsche HTTP Server源码D.从正确的官方网站下载Apeche HTTP Server,并安装使用正确答案:B章T:(none)Explanation说明/参考:问题358小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机房的总价值为400万元人民币,暴露系数(Exposure Factor,EF)是25%,年度发生率(Annualixed Rateof Occu
34、rrence,ARO)为0.2。那么小王并算的年度预算损失(Annualixed Loss Expectancy,ALE)应该是()100万元人民币A. 400万元人民币20万元人民币B. 180万元人民币正确答案:C节:(none)Ex planation说明/参考:问题359国家信息化领导小组关于加强信息安全保障工作的意见中办发2003 27号明确了我国信息安全保障工 作的(),加强信息安全保障工作的(),需要重点加强的信息安全保障工作,27号文的重大意义是,安标志着我 国信息安全保障工作有了 (),我国最近十余年的信息安全保障工作都是围绕此政策性文件而()的,渗透了我 国()的各项工作。
35、A.方针;主要原则;总体纲领;展开和推进;信息安全保障建设B.总体要求;总体纲领;主要原则;展开;信息安全保障建设C.方针和总体要求;主要原则;总体纲领;展开和推进;信息安全保障建设D.总体要求;主要原则;总体纲领;展开;信息安全保障建设正确答案:D早节:(none)Explanation说明/参考:问题360老王是某政府信息中心主任,以下哪项是符合保守国家秘密法要求的()A.老王安排下属小李将损害的涉密计算机的某国外品牌硬盘送到该品牌中国区维修中心维修B.老王要求下属小张把中心所有计算机贴上密级标志C.老王每天晚上12点将涉密计算机连接上互联网更新杀毒软件病毒库D.老王提出对加密机和红黑电源
36、插座应该与涉密信息系统同步投入使用正确答案:D章节:(none)Explanation说明/参考:问题361为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并将编制任务交 给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是()A.信息安全需求报告应依据该公众服务信息系统的功能设计方案为主要内容来撰写B.信息安全需求描述报告是设计和撰写信息安全保障方案的前提和依据C.信息安全需求描述报告应当基于信息安全风险评估结果和有关政策法规和标准的合规性要求得到D.信息安全需求描述报告的主题内容可以按照技术,管理和工程等方面需求展
37、开编写正确答案:A 一章, T:(none)Ex planation说明/参考: 问题362一个密码系统至少由明文.密文加密算法,解密算法和密钥5部分组成,而其安全性是由下列哪个选项决定的 ()A.加密算法B.解密算法C.加密和解密算法D.密钥正确答案:D音.tj :(none)Explanation说明/参考: 问题363由于信息系统的复杂性,因此需要一个通用的框架对其进行解构和描述,然后再基于此框架讨论信息系统的O o在LATF中,将信息系统的信息安全保障技术层面分为以下四个焦点领域:():区域边界即本地计算环 境的外缘;();支持性基础设施,在深度防御技术方案中推荐()原则.()原则。A
38、,网络和基础设施;安全保护问题;本地的计算机环境;多点防御;分层防御B.安全保护问题;本地的计算机环境;多点防御;网络和基础设施;分层防御C.安全保护问题;本地的计算机环境;网络和基础设施;多点防御;分层防御D.本地的计算环境;安全保护问题;网络和基础设施;多点防御;分层防御正确答案:C章节:(none)Explanation说明/参考: 问题364以下关于数字签名说法正确的是()A.数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B.数字签名能够解决数据的加密传输,即安全传输问题C.数字签名一般采用对称加密机制D.数字签名能够解决篡改.伪造等安全性问题正确答案:DJ3lL 早
39、节:(none)Explanation说明/参考:数字签名的作用就是“解决篡改、伪造等安全性问题”,A项毫无关系是错误的,B项数字签名的作用不是用来加密 传输的,C项数字签名一般采用非对称加密机制。问题365以下关于法律的说法错误的是OA.法律是国家意志的统一体现,有严密的逻辑体系和效力B.法律可以是公开的,也可以是“内部”的C. 一旦制定,就比较稳定,长期有效,不允许经常更改D.法律对违法犯罪的后果由明确规定,是一种“硬约束”正确答案:B-Yr.T:(none)Explanation说明/参考:问题366PKI的主要理论基础是A.对称密码算法B.公钥密码算法C.量子算法D.摘要算法正确答案:
40、B章T:(none)Ex planation说明/参考:注册信息安全专业人员资质认证考试CISP模拟考试姓名 考试日期身份证声明:(1)本考卷题目知识产权属于中国信息安全产品测评认证中心,任何人不可将考试题目泄露给他人,违者将追究其相关责任。(2)试卷答案请填写在答题卡,考试结束后,将此试卷与答题卡一起上交,缺一无效。(3)本试卷均为单选题,请选择最恰当的一个答案作答。(4)如有任何建议请e-mail:1. 在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统网络B. 数据库应用程序系统答案:A备注:标准和法规(TCSEC)下述攻击手段中不属于DOS攻击的是:()A. Smurf 攻击
41、Land攻击B. Teardrop 攻击CGI溢出攻击答案:Do国家秘密的密级分为:()A. “普密”、“商密”两个级别“低级”和“高级”两个级别B. “绝密”、“机密”、“秘密”三个级别“一密”、二密”、”三密”、“四密”四个级别答案:Co应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试单元测试、系统测试、集成测试、验收测试B. 验收测试、单元测试、集成测试、系统测试单元测试、集成测试、系统测试、验收测试答案:选项D。2. 多层的楼房中,最适合做数据中心的位置是:A. 一楼地下室B. 顶楼除以上外的任何楼层答案:Do随着全球信息化的发展,信息安全成了网络时代的热点,为了
42、保证我国信息产业的发展与安全,必 须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权 从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。答案:Do计算机安全事故发生时,下列哪些人不被通知或者
43、最后才被通知:A. 系统管理员律师B. 恢复协调员硬件和软件厂商答案:Bo下面的哪种组合都属于多边安全模型?A. TCSEC 和 Bell-LaPadulaChinese Wall 和 BMAB. TCSEC 和 Clark-WilsonChinese Wall 和 Biba答案:Bo下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?A. 虹膜检测技术语音标识技术B. 笔迹标识技术指纹标识技术答案:Ao备注:安全技术访问控制(标识和鉴别)拒绝服务攻击损害了信息系统的哪一项性能?A. 完整性可用性B. 保密性可靠性答案:Bo备注:安全技术安全攻防实践下列哪一种模型运用在JAVA安全模
44、型中:A. 白盒模型黑盒模型B. 沙箱模型灰盒模型答案:备注:信息安全架构和模型以下哪一个协议是用于电子邮件系统的?A. X.25X.75B. X.400X.500答案:Co备注:安全技术ICT信息和通信技术应用安全(电子邮件). “如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响”,这一说法是适合于以下 哪一种拓扑结构的网络的?A. 星型树型B. 环型复合型答案:Ao备注:安全技术巾CT信息和通信技术.在一个局域网的环境中,其内在的安全威胁包括主动威胁和被动威胁。以下哪一项属于被动威胁?A. 报文服务拒绝假冒B. 数据流分析报文服务更改答案:Co备注:安全技术安全攻防实践. Ch
45、inese Wall模型的设计宗旨是:A. 用户只能访问那些与已经拥有的信息不冲突的信息用户可以访问所有信息B. 用户可以访问所有已经选择的信息用户不可以访问那些没有选择的信息答案:Ao备注:(PT)信息安全架构和模型 (BD)安全模型上(KA)强制访问控制(MAC)模型卜 (SA) Chinese Wall模型,基本概念理解. ITSEC中的F1-F5对应TCSEC中哪几个级别?A. D 到 B2C2 至ij B3B. C1 至ij B3C2 至ij A1答案:Co备注:(PT)信息安全标准和法律法规卜(BD)信息安全标准H (KA)信息安全技术测评标准, 概念记忆。13 .下面哪一个是国家
46、推荐性标准?A. GB/T 18020-1999应用级防火墙安全技术要求SJ/T 30003-93电子计算机机房施工及验收规范B. GA 243-2000计算机病毒防治产品评级准则ISO/IEC 15408-1999信息技术安全性评估准则答案:Ao备注:(PT)信息安全标准和法律法规卜(BD)信息安全法律法规。14 .密码处理依靠使用密钥,密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥?A. 对称的公钥算法非对称私钥算法B. 对称密钥算法非对称密钥算法答案:Co备注:(PT)安全技术卜(BD)信息安全机制卜(KA)密码技术和应用,基本概念理解。15 .在执行风
47、险分析的时候,预期年度损失(ALE)的计算是:A. 全部损失乘以发生频率全部损失费用+实际替代费用B. 单次预期损失乘以发生频率资产价值乘以发生频率答案:Co备注:(PT)安全管理卜(BD)关键安全管理过程卜(KA)风险评估,基本概念。16 .作为业务持续性计划的一部分,在进行风险评价的时候的步骤是:1. 考虑可能的威胁建立恢复优先级2. 评价潜在的影响评价紧急性需求A. 1-3-4-21-3-2-4B. 1-2-3-41-4-3-2答案:Ao备注:安全管理业务持续性计划21 . CC中安全功能/保证要求的三层结构是(按照由大到小的顺序):A. 类、子类、组件组件、子类、元素B. 类、子类、元素子类、组件、元素答案:Ao备注:(PT)信息安全标准和法律法规 (BD)信息安全标准卜(KA)信息安全技术测评标准卜 (
黑公网安备:91230400333293403D