CISP試題及標(biāo)準(zhǔn)答案-套題詳解

1、CISP試題及答案-套題詳解作者:日期:1.下面關(guān)于信息安全保障的說法正確的是：A.信息安全保障的概念是與信息安全的概念同時產(chǎn)生的B.信息系統(tǒng)安全保障要素包括信息的完整性、可用性和保密性C.信息安全保障和信息安全技術(shù)并列構(gòu)成實現(xiàn)信息安全的兩大主要手段D.信息安全保障是以業(yè)務(wù)目標(biāo)的實現(xiàn)為最終目的，從風(fēng)險和策略出發(fā)，實施在系統(tǒng)的生命周期內(nèi)確保信息的安全屬性2.根據(jù)GB/T20274信息安全保障評估框架，對信息系統(tǒng)安全保障能力進行評估應(yīng)A.信息安全管理和信息安全技術(shù)2個方面進行B.信息安全管理、信息安全技術(shù)和信息安全工程3個方面進行C.信息安全管理、信息安全技術(shù)、信息安全工程和人員4個方面進行D.信

2、息安全管理、信息安全技術(shù)、信息安全工程、法律法規(guī)和人員5個方面進行3 .哪一項不是GB/T20274信息安全保障評估框架給出的信息安全保障模通過以風(fēng)險和策略為基礎(chǔ)，在整個信息系統(tǒng)的生命周期中實施技術(shù)、管理、工程和人員保障要素，從而使信息系統(tǒng)安全保障實現(xiàn)信息安全的安全特征4 .對于信息安全發(fā)展歷史描述正確的是：A.信息安全的概念是隨著計算機技術(shù)的廣泛應(yīng)用而誕生的B.目前信息安全己經(jīng)發(fā)展到計算機安全的階段C.目前信息安全不僅僅關(guān)注信息技術(shù)，人們意識到組織、管理、工程過程和人員同樣是促進系統(tǒng)安全性的重要因素D.我們可以將信息安全的發(fā)展階段概括為，由“計算機安全”到“通信安全”，再到“信息安全”，直至

3、現(xiàn)在的“信息安全保障”5. ISO的OSI安全體系結(jié)構(gòu)中，以下哪一個安全機制可以提供抗抵賴安全服務(wù)A.加密B.數(shù)字簽名C.訪問控制D.路由控制6. 表小層7. 以下哪一個關(guān)于信息安全評估的標(biāo)準(zhǔn)首先明確提出了保密性、完整性和可用性三項信息安全特性A. ITSECB. TCSECC. GB/T9387.2D.彩虹系列的橙皮書8 .下面對于CC的“保護輪廓”（PP）的說法最準(zhǔn)確的是：A.對系統(tǒng)防護強度的描述B.對評估對象系統(tǒng)進行規(guī)范化的描述C.對一類TOE的安全需求，進行與技術(shù)實現(xiàn)無關(guān)的描述D.由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度9 .以下哪一項屬于動態(tài)的強制訪問控制模型？A. Be

4、ll-Lapudufa模型B.10.C. Strongstarproperty處于D. Bell-Lapadula模型的訪問規(guī)則主要是出于對保密性的保護而制定的11 .下面對于強制訪問控制的說法錯誤的是？A它可以用來實現(xiàn)完整性保護，也可以用來實現(xiàn)機密性保護B在強制訪問控制的系統(tǒng)中，用戶只能定義客體的安全屬性C它在軍方和政府等安全要求很高的地方應(yīng)用較多D它的缺點是使用中的便利性比較低12 .以下哪兩個安全模型分別是多級完整性模型和多邊保密模型？A. Biba模型和Bell-Lapadula模型B. Bell-Lapaduia模型和Biba模型C. ChineseWall模型和Bell-Lapad

5、ula模型D. Biba模型和ChineseWall模型13 .在一個使用ChineseWall模型建立訪問控制的信息系統(tǒng)中，數(shù)據(jù)Wft數(shù)據(jù)X在一個興趣沖突域中，數(shù)據(jù)Y和數(shù)據(jù)Z在另一個興趣沖突域中，那么可以確定一個新注冊的用戶：A.只有訪問了W之后，才可以訪問XB.只有訪問了W之后，才可以訪問Y和Z中的一個C.無論是否訪問W都只能訪問Y和Z中的一個D.無論是否訪問W都不能訪問Y或Z14. BMAJ問控制模型是基于A.健康服務(wù)網(wǎng)絡(luò)B. ARPANETC. ISPD. INTERNET15.16.證書持有者的公鑰證書頒發(fā)機構(gòu)的簽名證書有效期17. 下面關(guān)于密碼算法的說法錯誤的是？A.分組密碼又稱作

6、塊加密B.流密碼又稱作序列密碼C. DESB法采用的是流密碼D.序列密碼每次加密一位或一個字節(jié)的明文18.下面對于SSH勺說法錯誤的是？A.SSH!SecureShell的簡稱B.客戶端使用ssh連接遠(yuǎn)程登錄SSHK務(wù)器必須經(jīng)過基于公鑰的身份驗證C.通常Linux操作系統(tǒng)會在/usr/local目錄下默認(rèn)安裝OpenSSHD. SSH2比SSH1更安全19 .下面對于標(biāo)識和鑒別的解釋最準(zhǔn)確的是：A.標(biāo)識用于區(qū)別不同的用戶，而鑒別用于驗證用戶身份的真實性B.標(biāo)識用于區(qū)別不同的用戶，而鑒別用于賦予用戶權(quán)限C.標(biāo)識用于保證用戶信息的完整性，而鑒別用于驗證用戶身份的真實性D.標(biāo)識用于保證用戶信息的完整

7、性，而鑒別用于賦予用戶權(quán)限20 .指紋、虹膜、語音識別技術(shù)是以下哪一種鑒別方式的實例：A.你是什么B.你有什么C.你知道什么D.你做了什么21 .安全審計是對系統(tǒng)活動和記錄的獨立檢查和驗證，以下哪一項不是審計系統(tǒng)的A.輔助辨識和分析未經(jīng)授權(quán)的活動或攻擊B.對與己建立的安全策略的一致性進行核查C.及時阻斷違反安全策略的訪問D.幫助發(fā)現(xiàn)需要改進的安全控制措施22 .下面哪一項不是通用IDS模型的組成部分：A.傳感器B.過濾器23 .24 .以下哪一項屬于物理安全方面的管理控制措施？A.照明B.護柱C.培訓(xùn)D.建筑設(shè)施的材料25 .以下哪種不是火災(zāi)探測器類型：A.電離型煙傳感器B.光電傳感器C.聲學(xué)

8、震動探測系統(tǒng)D.溫度傳感器26 .以下關(guān)于事故的征兆和預(yù)兆說法不正確的是：A.預(yù)兆是事故可能在將來出現(xiàn)的標(biāo)志B.征兆是事故可能己經(jīng)發(fā)生或正在發(fā)生的標(biāo)志C.預(yù)兆和征兆的來源包括網(wǎng)絡(luò)和主機IDS、防病毒軟件、系統(tǒng)和網(wǎng)絡(luò)日志D.所有事故的預(yù)兆和征兆都是可以發(fā)現(xiàn)的27 .組織機構(gòu)應(yīng)根據(jù)事故類型建立揭制策略，需要考慮以下幾個因素，除了：A、實施策略需要的時間和資源B、攻擊者的動機C、服務(wù)可用性D證據(jù)保留的時間28、下面安全套接字層協(xié)議（SSD的說法錯誤的是？A它是一種基于WetS用的安全協(xié)議B、由于SSL是內(nèi)嵌的瀏覽器中的，無需安全客戶端軟件，所以相對于IPSEC更簡GSSL與IPSec一樣都工作在網(wǎng)絡(luò)

9、層DSSL可以提供身份認(rèn)證、加密和完整性校驗的功能29、用來為網(wǎng)絡(luò)中的主機自動分配IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、wins服務(wù)器地址的網(wǎng)？AARPB、IGMPC、ICMPD>DHCP301下面哪一項不是VPNB議標(biāo)準(zhǔn)：AL2TPB、ipsecC、TACACS+D、PPTP30、IPSEC的兩種使用模式分別是?口A傳輸模式、安全殼模式B傳輸模式、隧道模式C隧道模式、ESP奠式D安全殼模式、AH模式31、組成IPSEC的主要安全協(xié)議不包括以下哪一項：A、ESPB、DSSC、IKED、AH32、在UNIX系統(tǒng)中輸入命令"LS-altest”顯示如下；-rwxr-xr-x3rootroo

10、t1024Sep1311:58test”對他的含義解釋錯誤的是：A、這是一個文件，而不是目錄B、文件的擁有者可以對這個文件讀、寫和執(zhí)行的操作G文件所屬組的成員有可以讀它，也可以執(zhí)行它D其他所有用戶只可以執(zhí)行它33、計算機具有的IP地址是有限的，但通常計算機會開啟多項服務(wù)或運行多個應(yīng)用程序，那么如何在網(wǎng)絡(luò)通信中對這些程序或服務(wù)進行單獨標(biāo)識？A分配網(wǎng)絡(luò)端口號（如ftp服務(wù)對應(yīng)21端口）B利用MAO址C使用子網(wǎng)掩碼D利用PKI/CA34、ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：Ahttpd.conf

11、Bsrm.confCinetd.confDaccess.conf35、下面哪一項是操作系統(tǒng)中可信通路（trustpath）機制的實例？AWindow系統(tǒng)中ALT+CTRL+DELBroot在Linux系統(tǒng)上具有絕對的權(quán)限C以root身份作任何事情都要謹(jǐn)慎D控制root用戶的登錄可以在/etc/security目錄下的access.conf文件中進行設(shè)置36、以下對Windows服務(wù)的說法錯誤的是（）A為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)BWindows服務(wù)只有在用戶成功登錄系統(tǒng)后才能運行C可以作為獨立的進程運行或以DLL的形式依附在Svchost.exeDwindows服務(wù)通常是以

12、管理員的身份運行的37、以下哪一項不是IIS服務(wù)器支持的訪問控制過濾類型？A網(wǎng)絡(luò)地址訪問控制Bweb服務(wù)器許可CNTFS許可D異常行為過濾38、下列哪一項與數(shù)據(jù)庫的安全有直接關(guān)系？A訪問控制的粒度B數(shù)據(jù)庫的大小C關(guān)系表中屬性的數(shù)量D關(guān)系表中元組的數(shù)量39、下列哪一組Oracle數(shù)據(jù)庫的默認(rèn)用戶名和默認(rèn)口令？A用戶名：“Scott"；口令：“tiger”B用戶名：“Sa”；口令：“nullr"C用戶名：“root”；口令：“null”D用戶名：“admin"；口令：“null”40、關(guān)于數(shù)據(jù)庫安全的說法錯誤的是？A數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于DBMS勺安全機制

13、B許多數(shù)據(jù)庫系統(tǒng)在操作系統(tǒng)一下文件形式進行管理，因此利用操作系統(tǒng)漏洞可以竊取數(shù)據(jù)庫文件C為了防止數(shù)據(jù)庫中的信息被盜取，在操作系統(tǒng)層次對文件進行加密是唯一從根本上解決問題的手段D數(shù)據(jù)庫的安全需要在網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)三個方面進行保護42、下面關(guān)于計算機惡意代碼發(fā)展趨勢的說法錯誤的是：A木馬和病毒盜竊日益猖獗B利用病毒犯罪的組織性和趨利性增加C綜合利用多種編程新技術(shù)、對抗性不斷增加D復(fù)合型病毒減少，而自我保護功能增加43、關(guān)于網(wǎng)頁中的惡意代碼，下列說法錯誤的是：A網(wǎng)頁中的惡意代碼只能通過IE瀏覽器發(fā)揮作用B網(wǎng)頁中惡意代碼可以修改系統(tǒng)注冊表C網(wǎng)頁中的惡意代碼可以修改系統(tǒng)文件D網(wǎng)頁中的惡

14、意代碼可以竊取用戶的機密性文件44、下面對于“電子郵件炸彈”的解釋最準(zhǔn)確的是：A郵件正文中包含的惡意網(wǎng)站鏈接B郵件附件中具有強破壞性的病毒C社會工程的一種方式，具有恐嚇內(nèi)容的郵件D在短時間內(nèi)發(fā)送大量郵件軟件，可以造成目標(biāo)郵箱爆滿45、以下哪一項是常見We的占點脆弱性掃描工具：ASnifferBNmapCAppscanDLC46、下面哪一項不是安全編程的原則A盡可能使用高級語言進行編程B盡可能讓程序只實現(xiàn)需要的功能C不要信任用戶輸入的數(shù)據(jù)D盡可能考慮到意外的情況，并設(shè)計妥善的處理方法47、黑客進行攻擊的最后一個步驟是：A偵查與信息收集B漏洞分析與目標(biāo)選定C獲取系統(tǒng)權(quán)限D(zhuǎn)打掃戰(zhàn)場、清楚證據(jù)48、下

15、面哪一項是緩沖溢出的危害？A可能導(dǎo)致shellcode的執(zhí)行而非法獲取權(quán)限，破壞系統(tǒng)的保密性B執(zhí)行shellcode后可能進行非法控制，破壞系統(tǒng)的完整性C可能導(dǎo)致拒絕服務(wù)攻擊，破壞系統(tǒng)的可用性D以上都是49、以下哪一項是DOS$擊的一個實例ASQL注入BIPSpoofCSmurf攻擊D字典破解50、以下對于蠕蟲病毒的錯誤說法是（）A通常蠕蟲的傳播無需用戶的操作B蠕蟲病毒的主要危害體現(xiàn)在對數(shù)據(jù)保密的破壞C蠕蟲的工作原理與病毒相似，除了沒有感染文件D是一段能不以其他程序為媒介，從一個電腦系統(tǒng)復(fù)制到另一個電腦系統(tǒng)51、以下哪一項不是跨站腳本攻擊？A給網(wǎng)站掛馬B盜取COOKIEC偽造頁面信息D暴力破解

16、密碼52.對能力成熟度模型解釋最準(zhǔn)確的是？A.它認(rèn)為組織的能力依賴與嚴(yán)格定義，管理完善，可測可控的有效業(yè)務(wù)過程。B.它通過嚴(yán)格考察工程成果來判斷工程能力。C.它與統(tǒng)計過程控制的理論出發(fā)點不同，所以應(yīng)用于不同領(lǐng)域。D.它是隨著信息安全的發(fā)展而誕生的重要概念。53.一個單位在處理一臺儲存過高密級信息的計算機是首先應(yīng)該做什么？A.將硬盤的每一個比特寫成“OB.將硬盤徹底毀壞C.選擇秘密信息進行刪除D.進行低級格式化60.變更控制是信息系統(tǒng)運行管理的重要的內(nèi)容，在變更控制的過程中：A.應(yīng)該盡量追求效率，而沒有任何的程序和核查的阻礙。B.應(yīng)該將重點放在風(fēng)險發(fā)生后的糾正措施上。C.應(yīng)該很好的定義和實施風(fēng)險

17、規(guī)避的措施。D.如果是公司領(lǐng)導(dǎo)要求的，對變更過程不需要追蹤和審查61.在信息系統(tǒng)的開發(fā)和維護過程中，以下哪一種做法是不應(yīng)該被贊成的A.在購買軟件包后，依靠本單位的技術(shù)力量對軟件包進行修改，加強代碼的安全性。B.當(dāng)操作系統(tǒng)變更后，對業(yè)務(wù)應(yīng)用系統(tǒng)進行測試和評審。C.在需要是對操作文檔和用戶守則進行適當(dāng)?shù)男薷?。D.在安裝委外開發(fā)的軟件前進行惡意代碼檢測。62.對于信息系統(tǒng)訪問控制說法錯誤的是？A.應(yīng)該根據(jù)業(yè)務(wù)需求和安全要求制定清晰的訪問控制策略，并根據(jù)需要進行評審和改進。B.網(wǎng)絡(luò)訪問控制是訪問控制的重中之重，網(wǎng)絡(luò)訪問控制做好了操作系統(tǒng)和應(yīng)用層次的訪問控制就會解決C.做好訪問控制工作不僅要對用戶的訪問

18、活動進行嚴(yán)格管理，還要明確用戶在訪問控制中的有關(guān)責(zé)任D.移動計算和遠(yuǎn)程工作技術(shù)的廣泛應(yīng)用給訪問控制帶來新的問題，因此在訪問控制工作要重點考慮對移動計算設(shè)備和遠(yuǎn)程工作用戶的控制措施63 .對程序源代碼進行訪問控制管理時，以下那種做法是錯誤的？A.若有可能，在實際生產(chǎn)系統(tǒng)中不保留源程序庫。B.對源程序庫的訪問進行嚴(yán)格的審計C.技術(shù)支持人員應(yīng)可以不受限制的訪問源程序D.對源程序庫的拷貝應(yīng)受到嚴(yán)格的控制規(guī)程的制約64 .目前數(shù)據(jù)大集中是我國重要的大型分布式信息系統(tǒng)建設(shè)和發(fā)展的趨勢，數(shù)據(jù)大集中就是將數(shù)據(jù)集中存儲和管理，為業(yè)務(wù)信息系統(tǒng)的運行搭建了統(tǒng)一的數(shù)據(jù)平臺，對這種做法的認(rèn)識正確的是？A.數(shù)據(jù)庫系統(tǒng)龐大

19、會提高管理成本B.數(shù)據(jù)庫系統(tǒng)龐大會降低管理效率C.數(shù)據(jù)的集中會降低風(fēng)險的可控性D.數(shù)據(jù)的集中會造成風(fēng)險的集中65.管理者何時可以根據(jù)風(fēng)險分析結(jié)果對已識別風(fēng)險不采取措施A.當(dāng)必須的安全對策的成本高出實際風(fēng)險的可能造成的譴責(zé)負(fù)面影響時B.當(dāng)風(fēng)險減輕方法提高業(yè)務(wù)生產(chǎn)力時C.當(dāng)引起風(fēng)險發(fā)生的情況不在部門控制范圍之內(nèi)時D.不可接受66.在風(fēng)險評估中進行定量的后果分析時，如果采用年度風(fēng)險損失值的方法進行計算，應(yīng)當(dāng)使用一下哪個公式？A. SLE（單次損失預(yù)期值）xARO（年度發(fā)生率）B. ARO（年度發(fā)生率）xEF（暴露因子）C. SLE（單次損失預(yù)期值）xEF（暴露因子）xARO（年度發(fā)生率）D. SLE

20、（單次損失預(yù)期值）xARO（年度發(fā)生率）一EF（暴露因子）67風(fēng)險管理的重點：A.將風(fēng)險降低到可以接受的程度B.不計代價的降低風(fēng)險C.將風(fēng)險轉(zhuǎn)移給第三方D.懲罰違反安全策略規(guī)定的雇員68 .風(fēng)險評估按照評估者的不同可以分為自評估和第三方評估，這兩種評估方式最本質(zhì)的差別是什么？A.評估結(jié)果的客觀性B.評估工具的專業(yè)程度C.評估人員的技術(shù)能力D.評估報告的形式69 .以下關(guān)于風(fēng)險管理的描述不正確的是?A.風(fēng)險的四種控制方法有：減低風(fēng)險/轉(zhuǎn)嫁風(fēng)險/規(guī)避風(fēng)險/接受風(fēng)險B.信息安全風(fēng)險管理是否成功在于發(fā)現(xiàn)是否切實被消除了C.組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來確定需要管理的信息安全D.信息安

21、全風(fēng)險管理是基于可接受的成本，對影響信息系統(tǒng)的安全風(fēng)險進行識別多少或消除的過程。70 .從風(fēng)險分析的觀點來看，計算機系統(tǒng)的最主要安全脆弱性存在于一一A.計算機內(nèi)部處理B.系統(tǒng)輸入輸出C.網(wǎng)絡(luò)和通訊D.數(shù)據(jù)存儲介質(zhì)71.以下選項中那一項是對信息安全風(fēng)險采取的糾正機制？A.訪問控制B.入侵檢測C.災(zāi)難恢復(fù)D.防病毒系統(tǒng)72.下面哪一項最準(zhǔn)確的闡述了安全檢測措施和安全審計之間的區(qū)別？A.審計措施不能自動執(zhí)行，而檢測措施可以自動執(zhí)行B.檢測措施不能自動執(zhí)行，而審計措施可以自動執(zhí)行C.審計措施是一次性的或周期性的進行，而檢測措施是實時的進行D.檢測措施是一次性的或周期性的進行，而審計措施是實時的進行73.下面哪一項安全控制措施不是用來檢測