如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
1、CISP真题及参考答案(可编辑)CISP真题及参考答案CISP真题及参考答案1、信息安全发展各阶段中,下面哪一项是通信安全阶段主要面临的安全威胁A、病毒B、非法访问C、信息泄露D、脆弱口令答案:C。2、信息安全保障强调安全是动态的安全,意味着:A、信息安全是一个不确定的概念B、信息安全是一个主观的概念C、信息安全必须覆盖信息系统整个生命周期,随着安全风险的变化有针对性地进行调整D、信息安全智能是保证信息在有限物理范围内的安全,无法保证整个信息系统的安全答案:C。3、关于信息保障技术框架(IATF),下列说法错误的是:A、IATF强调深度防御,
3、终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D、可信用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安全防护措施六个部分答案:B。5、下面哪一项表示了信息不被非法篡改的属性A、可生存性B、完整性C、准确性D、参考完整性答案:B。6、以下关于信息系统安全保证是主观和客观的结合说法最准确的是:BA、信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全B、通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目
4、标的信息C、是一种通过客观证据向信息系统评估组提供主观信息的活动D、是主观和客观综合评估的结果答案:B。7、一下哪一项是数据完整性得到保护的例子A、某网站在访问量突然增加时对用户连接数量进行了限制,保证已登陆的用户可以完成操作B、在提款过程中,ATM终端发生故障,银行业务系统及时对用户的账户余额进行了冲正操作C、某网管系统具有严格的审计功能,可以确定那个管理员在核实对核心交换机进行了什么操作D、李先生在每天下班前将重要文件所在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看答案:B。8、PPDR模型不包括:A、策略B、监测C、响应D、加密答案
5、:D。9、信息系统安全目标(ST)是_在信息系统安全特性和评估范围之间达成一致的基础。A、开发者和评估者B、开发者、评估者和用户C、开发者和用户D、评估者和用户答案:B。10、依据国家标准GB/T20274信息系统安全保障评估框架,在信息系统安全目标中,评估对象包括哪些内容A、信息系统管理体系、技术体系、业务体系B、信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程C、信息系统安全管理、信息系统安全技术和信息系统安全工程D、信息系统组织机构、管理制度、资产答案:B。11、以下哪些不属于先对密码学研究范畴A、E
6、nigma密码机的分析破译B、香农提出的扩散和混淆概念C、Diffe-Hellman密钥交换D、差分分析和线性分析答案:A。12、常见密码系统包含的元素是:A、明文、密文、信道、加密算法、解密算法B、明文、摘要、信道、加密算法、解密算法C、明文、密文、密钥、加密算法、解密算法D、消息、密文、信道、加密算法、解密算法答案:C。13、公钥密码的应用不包括:A、数字签名B、非安全信道的密钥交换C、消息验证码D、身份认证答案:C。14、以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换A、DSSB、Diffe-HellmanC、RSAD、AE
7、S答案:C。15、目前对MD5,SHA1算法的攻击是指:A、能够构造出两个不同的消息,这两个消息产生了相同的消息摘要B、对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要C、对于一个已知的消息摘要,能够恢复其原始消息D、对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证答案:A。16、数字签名应具有的性质不包括:A、能够验证签名者B、能够认证被签名消息C、能够保护被签名的数据机密性D、签名必须能够由第三方验证答案:C。17、数字证书的功能不包括:A、加密B、数字签名C、身份认证D、消息摘要答案:D。18、
8、下列哪一项是注册机构(RA)的职责A、证书发放B、证书注销C、提供目录服务让用户查询D、审核申请人信息答案:D19、下列哪一项是虚拟专用网络(VPN)的安全功能A、验证,访问控制和密码B、隧道,防火墙和拨号C、加密,鉴别和密钥管理D、压缩,解密和密码答案:C。20、下面哪一项不是VPN协议标准A、L2TPB、IPSecC、TACACS+D、PPTP答案:C。21、下列对访问控制的说法正确的是:A、访问控制模型是对一系列访问控制规则集合的描述,必须是形式化的B、一般访问控制过程由:主题、客体、访问控制决策和访问控制实施四部分组成C、
11、(秘密,NUC,US),Alice请求读该文件答案:C。25、在一个使用ChineseWall模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个信息兴趣冲突域中,那么可以确定一个新注册的用户:A、只有访问了W之后,才可以访问XB、只有访问了W之后,才可以访问Y和Z中的一个C、无论是否访问W,都只能访问Y和Z中的一个D、无论是否访问W,都不能访问Y和Z答案:C。26、以下关于RBAC模型的说法正确的是:A、该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B、一个用户必须
12、扮演并激活某种角色,才能对一个对象进行访问或执行某种操作C、在该模型中,每个用户只能有一个角色D、在该模型中,权限与用户关联,用户与角色关联答案:B。27、以下对Kerberos协议过程说法正确的是:A、协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务B、协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务C、协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可票据D、协议可以分为三个步骤:一是获得票据许可票据;二是获得服务许可票据;三是获得服务答案:D。28、下面哪一项不属于集中访问控制管理技术A、RAD
13、IUSB、TEMPESTC、TACACSD、Diameter答案:B。29、基于生物特诊的鉴别系统一般使用哪个参数来判断系统的准确度A、错误拒绝率B、错误检测率C、交叉错判率CERD、错误接受率答案:C。30、下列对于密网功能描述不正确的是:A、可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击B、吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的或者记录下来C、可以进行攻击检测和实施报警D、可以对攻击活动进行监视、检测和分析答案:C。31、下面哪一个不属于基于OSI七层协议的安全体系结构的5中服务之一A、数据完整性B、数据保密性C、数字签
15、和攻击答案:D。35、简单包过滤防火墙主要工作在_。A、链路层/网络层B、网络层/传输层C、应用层D、会话层答案:B。36、以下哪一项不是应用层防火墙的特点A、更有效的阻止应用层攻击B、工作在OSI模型的第七层C、速度快且对用户透明D、比较容易进行审计答案:C。37、哪一类防火墙具有根据传输信息的内容(如关键字、文件类)来控制访问连接的能力A、包过滤防火墙B、状态检测防火墙C、应用网关防火墙D、以上都不是答案:C。38、下面哪一项不是通用IDS模型的组成部分:A、传感器B、过滤器C、分析器D、管理器答案:
16、B。39、下面哪一项不是IDS的主要功能A、监控和分析用户和系统活动B、统计分析异常活动模式C、对被破坏的数据进行修复D、识别活动模式一反映已知攻击答案:C。40、有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件,这种机制称作:A、异常检测B、特征检测C、差距分析D、比对分析答案:A。41、以下关于Linux用户和组的描述不正确的是:A、在Linux中,每一个文件和程序都归属于一个特定的“用户”B、系统中的每一个用户都必须至少属于一个用户组C、用户和组的关系可以多对一,一个组可以有多个用户,一个用户
19、以下关于windowsSAM安全账号管理器的说法错误的是:A、安全账号管理器(SAM)具体表现就是%systemRoot%system32configsamB、安全账号管理器(SAM)存储的账号信息是存储在注册表中C、安全账号管理器(SAM)存储的账号信息对administrator和system是可读和可写的D、安全账号管理器(SAM)是windows的用户数据库,系统进程通过securityAccountsManager服务进行访问和操作答案:C。46、为了实现数据库的完整性控制,数据库管理员应向DBMS提出一组完整性规则来检查数据库
20、中的数据,完整性规则主要由三部分组成,以下哪一个不是完整性规则的内容A、完整性约束条件B、完整性检查机制C、完整性修复机制D、违约处理机制答案:C。47、数据库事务日志的用途是:A、事务处理B、数据恢复C、完整性约束D、保密性控制答案:B。48、攻击者在远程WEB页面的6HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞A、缓冲区溢出B、SQL注入C、设计错误D、跨站脚本答案:A。49、通常在网站数据库中,用户信息中的密码一项,是以
21、哪种形式存在A、明文形式存在B、服务器加密后的密文形式存在C、hash运算后的消息摘要值存在D、用户自己加密后的密文形式存在答案:C。50、下列对跨站脚本攻击(XSS)的描述正确的是:A、XSS攻击指的是恶意攻击者往web页面里插入恶意代码,当用户浏览该页之时,嵌入其中web里面的代码会被执行,从而达到恶意攻击用户的特殊目的。B、XSS攻击是DDOS攻击的一种变种C、XSS攻击就是CC攻击D、XSS攻击就是利用被控制的及其不断地向被攻击网站发送访问请求,迫使IIS连接数超出限制,当CPU资源或带宽资源耗尽,那么网站也就被攻击跨了,从而达
22、到攻击目的。答案:A。51、下列哪种恶意代码不具备“不感染、依附性”的特点A、后门B、陷门C、木马D、蠕虫答案:D。52、下列关于计算机病毒感染能力的说法不正确的是:A、能将自身代码注入到引导区B、能将自身代码注入到扇区中的文件镜像C、能将自身代码注入到文本文件中并执行D、能将自身代码注入到文档或模板的宏中代码答案:C。53、下列那一项不是信息安全漏洞的载体A、网络协议B、操作系统C、应用系统D、业务数据答案:D。54、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时,就会产生哪种类型的漏洞A、缓冲区溢出B、设计错误C、信息泄露D、代码注入答案:D。5
23、5、Smurf利用下列哪种协议进行攻击A、ICMPB、IGMPC、TCPD、UDP答案:A。56、如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况输入哪一种攻击A、重放攻击B、Smurf攻击C、字典攻击D、中间人攻击答案:D。57、以下那个攻击步骤是IP欺骗(IPSpoof)系列攻击中最关键和难度最高的A、对被冒充的主机进行绝技服务攻击,使其无法对目标主机进行响应B、与目标主机进行会话,猜测目标主机的序号规则C、冒充受信主机向目标主机发送数据包,欺骗目标主机D、向目标主机发送指令,进行会话操作答案:B。58、下列哪些措
24、施,不是有效的缓冲区溢出的防护措施AA、使用标准的C语言字符串库进行操作B、严格验证输入字符串长度C、过滤不合规则的字符D、使用第三方安全的字符串库操作答案:A。59、下列那一项不属于Puzz测试的特性A、主要针对软件漏洞或可靠性错误进行测试B、采用大量测试用例进行激励-响应测试C、一种试探性测试方法,没有任何理论依据D、利用构造畸形的输入数据引发被测试目标产生异常答案:C。60、以下哪个不是软件安全需求分析解决的主要任务A、确定团队负责人和安全顾问B、威胁建模C、定义安全和隐私需求(质量标准)D、设立最低安全标准/Bug栏答案:B。61、下面对P
25、DCA模型的解释不正确的是A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动B、是一种可以应用于信息安全管理活动持续改进的有效实践方法C、也被称为“戴明环”D、适用于对组织整体活动的优化,不适合单个的过程以及个人答案:D。62、风险评估方法的选定在PDCA循环中的哪个阶段完成A、实施和运行B、保持和改进C、建立D、监视和评审答案:C。63、在PDCA模型中,ACT(处置)环节的信息安全管理活动是:A、建立环境B、实施风险处理计划C、持续的监视与评审风险D、持续改进信息安全管理过程答案:D。64、下述选项中对于“风险管理”的描述不正确的是
27、性答案:C。66、风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的A、风险分析准备的内容是识别风险的影响和可能性B、风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度C、风险分析的内容是识别风险的影响和可能性D、风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施答案:C。67、下列哪一项准备地描述了脆弱性、威胁、影响和风险之间的关系DA、脆弱性增加了威胁,威胁利用了风险并导致了影响B、风险引起了脆弱性并导致了影响,影响又引起了威胁C、风险允许威胁利用脆弱性,并导致了影响D、
28、威胁利用脆弱性并产生影响的可能性称为风险,影响是威胁已造成损害的实例答案:D。68、管理者何时可以根据风险分析结果对已识别的风险不采取措施AA、当必须的安全对策的成本高出实际风险的可能造成的潜在费用时B、当风险减轻方法提高业务生产力C、当引起风险发生的情况不在部门控制范围之内时D、不可接受答案:A。69、以下选项中哪一项是对于信息安全风险采取的纠正机制A、访问控制B、入侵检测C、灾难恢复D、防病毒系统答案:C。70、下列对风险分析方法的描述正确的是:A、定量分析对比定性分析方法使用的工具更多B、定性分析比定量分析方法使用的工具更多C、同
29、一组织只使用使用一种方法进行评估D、符合组织要求的风险评估方法就是最优方法答案:D。71、下列哪种处置方法属于转移风险A、部署综合安全审计系统B、对网络行为进行实时监控C、制订完善的制度体系D、聘用第三方专业公司提供维护外包服务答案:D。72、下面关于ISO27002的说法错误的是:A、ISO27002的前身是ISO17799-1B、ISO27002给出了通常意义的信息安全管理最佳实践供组织机构选用,但不是全部C、ISO27002对于每个控制措施的表述分“控制措施”、“实施指南”和“其它信息”三个部分来进行描述D、ISO27002提出了十一
30、大类的安全管理措施,其中风险评估和处置是出于核心地位的一类安全措施答案:D。73、某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负最终责任A、部门经理B、高级管理层C、信息资产所有者D、最终用户答案:C。74、应当如何理解信息安全管理体系中的“信息安全策略”A、为了达到如何保护标准而提出的一系列建议B、为了定义访问控制需求而产生出来的一些通用性指引C、组织高层对信息安全工作意图的正式表达D、一种分阶段的安全处理结果答案:C。75、以下关于“最小特权”安全管理原则理解正确的是:A、组织机构内的特敏岗位不能由一个人长期负责B、对重要
31、的工作进行分解,分配给不同人员完成C、一个人有且仅有其执行岗位所足够的许可和权限D、防止员工由一个岗位变动到另一个岗位,累计越来越多的权限答案:C。76、作为一个组织的信息系统普通用户,以下哪一项不是必须了解的A、谁负责信息安全管理制度的制定和发布B、谁负责监督信息安全制度的执行C、信息系统发生灾难后,进行恢复的整体工作流程D、如果违反了安全制度可能会受到惩戒措施答案:C。77、职责分离式信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员单独进行操作可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员
33、应用级演练、业务级演练C、业务级演练、应用级演练、系统级演练D、业务级演练、系统级演练、应用级演练答案:B。81、下面对能力程度模型解释最准确的是:A、它认为组织的能力依赖于严格定义、管理完善、可测可挖的有效业务过程B、它通过严格考察工程成果来判断工程能力C、它与统计过程控制理论的出发点不同、所以应用于不同领域D、它是随着信息安全的发展而诞生的重要概念答案:A。82、下面哪一项为系统安全工程能力成熟度模型提供了评估方法A、ISSEB、SSAMC、SSRD、CEM答案:B。83、下面对于SSE-CMM保证过程的说法错误的是:A、保证是指安
34、全需求得到满足的可信任度程度B、信息程度来自于对安全工程结果质量的判断C、自验证与证实安全的主要手段包括观察、认证、分析和测试D、PA“建立保证论据”为PA“验证与证实安全”提供了证据支持答案:D。84、SSE-CMM工程过程区域中的风险过程包含哪些过程区域A、评估威胁、评估脆弱性、评估影响B、评估威胁、评估脆弱性、评估安全风险C、评估威胁、评估脆弱性、评估影响、评估安全风险D、评估威胁、评估脆弱性、评估影响、验证和证实安全答案:C。85、按照SSE-cmm能力级别第三级是指:A、定量控制B、计划和跟踪C、持续改进D、充分定义答案:D。86、一个组织的
35、系统安全能力成熟度达到哪个级别以后,就可以考虑为过程域(PA)的实施提供充分的资源A、2级计划和跟踪B、3级充分定义C、4级量化控制D、充分定义答案:A。87、在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标:A、防止出现数据范围以外的值B、防止出现错误的数据处理顺序C、防止缓冲区溢出攻击D、防止代码注入攻击答案:B。88、信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作:A、明确业务
36、对信息安全的要求B、识别来自法律法规的安全要求C、论证安全要求是否正确完整D、通过测试证明系统的功能和性能可以满足安全要求答案:D。89、信息安全工程建立工程师不需要做的工作是:A、编写验收测试方案B、审核验收测试方案C、监督验收测试过程D、审核验收测试报告答案:A。90、下面哪一项是监理单位在招标阶段质量控制的内容A、协助建设单位提出工程需求,确定工程的整体质量目标B、根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需求部分C、进行风险评估和需求分析完成招标文件中的技术需求部分D、对标书应答的技术部分进行审核,修改其中不满足安全需
37、求的内容答案:A。91、国际标准化组织ISO下属208个技术委员会(TCs),531个分技术委员会(SCs),2378个工作组(WGs),其中负责信息安全技术标准化的组织:A、ISO/IESB、ISO/IECJTC1C、ISO/IECJTC1/SC27D、ISO/IECJTC1/SC37答案:C。92、_是目前国际通行的信息技术产品安全性评估标准A、TCSECB、ITSECC、CCD、IATF答案:C。93、以下对确定信息系统的安全保护等级理解正确的是:A、信息系统的安全保护等级是信息系统的客观属性B、确定信息系统的安全保护等级
38、时应考虑已采取或将采取的安全保护措施C、确定信息系统的安全保护等级时应考虑风险评估的结果D、确定信息系统的安全保护等级时应仅考虑业务信息的安全性答案:A。94、下面哪个不是ISO27000系列包含的标准A、信息安全管理体系要求B、信息安全风险管理C、信息安全度量D、信息安全评估规范答案:D。95、以下哪一个关于信息安全评估的标准首先明确提出了保密性、完成性和可用性三项信息安全特征AA、ITSECB、TCSECC、GB/T8387.2D、彩虹系列的橙皮书答案:A。96、目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现