CISP相关试题及答案集.docx
《CISP相关试题及答案集.docx》由会员分享,可在线阅读,更多相关《CISP相关试题及答案集.docx(31页珍藏版)》请在咨信网上搜索。
1、1. 人们对信息安全认识从信息技术安全发展到信息安全保障,重要是出于:AA. 为了更好完毕组织机构使命B. 针对信息系统袭击方式发生重大变化C. 风险控制技术得到革命性发展D. 除了保密性,信息完整性和可用性也引起了人们关注2.GB/T 20274信息系统安全保障评估框架中信息系统安全保障级中级别是指:CA. 对抗级B. 防护级C. 能力级D. 监管级3. 下面对信息安全特性和范围说法错误是: CA. 信息安全是一种系统性问题,不仅要考虑信息系统自身技术文献,尚有考虑人员、管理、政策等众多原因B. 信息安全是一种动态问题,他伴随信息技术发展普及,以及产业基础,顾客认识、投入产出而发展C. 信息
2、安全是无边界安全,互联网使得网络边界越来越模糊,因此确定一种组织信息安全责任是没故意义D. 信息安全是非老式安全,多种信息网络互联互通和资源共享,决定了信息安全具有不一样于老式安全特点4. 美国国防部提出信息保障技术框架(IATF)在描述信息系统安全需求时,将信息技术系统分为:BA. 内网和外网两个部分B. 当地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 顾客终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信顾客终端、服务器、系统软件、网络设备和通信线路、应用软件,安全防护措施六个部分5. 有关信息安全方略说法中,下面说法对是:CA. 信息安全方略制定是
3、以信息系统规模为基础B. 信息安全方略制定是以信息系统网络?C. 信息安全方略是以信息系统风险管理为基础D. 在信息系统尚未建设完毕之前,无法确定信息安全方略6. 下列对于信息安全保障深度防御模型说法错误是:CA. 信息安全外部环境:信息安全保障是组织机构安全、国家安全一种重要构成部分,因此对信息安全讨论必须放在国家政策、法律法规和原则外部环境制约下。B. 信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统整个生命周期,在这个过程中,我们需要采用信息系统工程措施来建设信息系统。C. 信息安全人才体系:在组织机构中应建立完善安全意识,培训
4、体系无关紧要D. 信息安全技术方案:“从外而内、自下而上、形成端到端防护能力”7. 全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面共同规定。“加紧信息安全人才培训,增强全民信息安全意识”指导精神,是如下哪一种国家政策文献提出? AA. 国家信息化领导小组有关加强信息安全保障工作意见B. 信息安全等级保护管理措施C.中华人民共和国计算机信息系统安全保护条例D.有关加强政府信息系统安全和保密管理工作告知8. 一家商业企业网站发生黑客非法入侵和袭击事件后,应及时向哪一种部门报案?AA. 公安部公共信息网络安全监察局及其各地对应部门B. 国家计算机
5、网络与信息安全管理中心C. 互联网安全协会D. 信息安全产业商会9. 下列哪个不是商用密码管理条例规定内容:DA. 国家密码管理委员会及其办公室(简称密码管理机构)主管全国商用密码管理工作B. 商用密码技术属于国家秘密,国家对商用密码产品科研、生产、销售和使用实行专控管理C. 商用密码产品由国家密码管理机构许可单位销售D. 个人可以使用经国家密码管理机构承认之外商用密码产品10. 对涉密系统进行安全保密测评应当根据如下哪个原则?BA. BMB20-波及国家秘密计算机信息系统分级保护管理规范B. BMB22-波及国家秘密计算机信息系统分级保护测评指南C. GB17859-1999计算机信息系统安
6、全保护等级划分准则D. GB/T20271-信息安全技术信息系统统用安全技术规定11. 下面对于CC“保护轮廓”(PP)说法最精确是:CA. 对系统防护强度描述B. 对评估对象系统进行规范化描述C. 对一类TOE安全需求,进行与技术实现无关描述D. 由一系列保证组件构成包,可以代表预先定义保证尺度12. 有关ISO/IEC21827:(SSE-CMM)描述不对是:DA. SSE-CMM是有关信息安全建设工程实行方面原则B. SSE-CMM目是建立和完善一套成熟、可度量安全工程过程C. SSE-CMM模型定义了一种安全工程应有特性,这些特性是完善安全工程主线保证D. SSE-CMM是用于对信息系
7、统安全等级进行评估原则13. 下面哪个不是ISO 27000系列包括原则 D A. 信息安全管理体系规定B. 信息安全风险管理C. 信息安全度量D. 信息安全评估规范14. 如下哪一种有关信息安全评估原则首先明确提出了保密性、完整性和可用性三项信息安全特性?AA. ITSECB. TCSECC. GB/T9387.2D.彩虹系列橙皮书15. 下面哪项不是信息安全等级保护管理措施(公通字【】43号)规定内容 DA. 国家信息安全等级保护坚持自主定级、自主保护原则B. 国家指定专门部门对信息系统安全等级保护工作进行专门监督和检查C. 跨省或全国统一联网运行信息系统可由主管部门统一确定安全保护等级D
8、. 第二级信息系统应当每年至少进行一次等级测评,第三级信息系统应当每?少进行一次等级测评16. 触犯新刑法285条规定非法侵入计算机系统罪可判处_A_。A. 三年如下有期徒刑或拘役B. 1000元罚款C. 三年以上五年如下有期徒刑D. 10000元罚款17. 常见密码系统包括元素是:CA. 明文,密文,信道,加密算法,解密算法B. 明文,摘要,信道,加密算法,解密算法C. 明文,密文,密钥,加密算法,解密算法D. 消息,密文,信道,加密算法,解密算法18. 公钥密码算法和对称密码算法相比,在应用上优势是: DA. 密钥长度更长B. 加密速度更快C. 安全性更高D. 密钥管理更以便19. 如下哪
9、一种密码学手段不需要共享密钥? BA.消息认证B.消息摘要C.加密解密D.数字签名20. 下列哪种算法一般不被顾客保证保密性? DA. AESB. RC4C. RSAD. MD521.数字签名应具有性质不包括:CA. 可以验证签名者B. 可以认证被签名消息C. 可以保护被签名数据机密性D. 签名必须可以由第三方验证22. 认证中心(CA)关键职责是_A_。A. 签发和管理数字证书B. 验证信息C. 公布黑名单D. 撤销顾客证书23. 如下对于安全套接层(SSL)说法对是:CA. 重要是使用对称密钥体制和X.509数字证书技术保护信息传播机密性和完整性B. 可以在网络层建立VPNC. 重要使用于
10、点对点之间信息传播,常用Web server方式D. 包括三个重要协议:AH,ESP,IKE24. 下面对访问控制技术描述最精确是:CA. 保证系统资源可靠性B. 实现系统资源可追查性C. 防止对系统资源非授权访问D. 保证系统资源可信性25. 如下有关访问控制表和访问能力表说法对是:DA. 访问能力表表达每个客体可以被访问主体及其权限B. 访问控制表阐明了每个主体可以访问客体及权限C. 访问控制表一般随主体一起保留D. 访问能力表更轻易实现访问权限传递,但回收访问权限较困难26. 下面哪一项访问控制模型使用安全标签(security labels)CA. 自主访问控制B. 非自主访问控制C.
11、 强制访问控制D. 基于角色访问控制27. 某个客户网络限制可以正常访问internet互联网,共有200台终端PC但此客户从ISP(互联网络服务提供商)里只获得了16个公有IPv4地址,最多也只有16台PC可以访问互联网,要想让所有200台终端PC访问internet互联网最佳采用什么措施或技术:BA. 花更多钱向ISP申请更多IP地址B. 在网络出口路由器上做源NATC. 在网络出口路由器上做目NATD. 在网络出口处增长一定数量路由器28. WAPI采用是什么加密算法?AA. 我国自主研发公开密钥体制椭圆曲线密码算法B. 国际上通行商用加密原则C. 国家密码管理委员会办公室同意流加密原则
12、D. 国际通行哈希算法29. 如下哪种无线加密原则安全性最弱?AA. wepB. wpaC. wpa2D. wapi30. 如下哪个不是防火墙具有功能?DA. 防火墙是指设置在不一样网络或网络安全域(公共网和企业内部网)之间一系列部件组合B. 它是不一样网络(安全域)之间唯一出入口C. 能根据企业安全政策控制(容许、拒绝、监测)出入网络信息流D. 防止来源于内部威胁和袭击31. 桥接或透明模式是目前比较流行防火墙布署方式,这种方式长处不包括:DA. 不需要对原有网络配置进行修改B. 性能比较高C. 防火墙自身不轻易受到袭击D. 易于在防火墙上实现NAT 32. 有一类IDS系统将所观测到活动同
13、认为正常活动进行比较并识别重要偏差来发现入侵事件,这种机制称作:AA. 异常检测B. 特性检测C. 差距分析D. 对比分析33. 在Unix系统中,/etc/service文献记录了什么内容?AA. 记录某些常用接口及其所提供服务对应关系B. 决定inetd启动网络服务时,启动哪些服务C. 定义了系统缺省运行级别,系统进入新运行级别需要做什么D. 包括了系统某些启动脚本34. 如下哪个对windows系统日志描述是错误?DA. windows系统默认有三个日志,系统日志、应用程序日志、安全日志B. 系统日志跟踪多种各样系统事件,例如跟踪系统启动过程中事件或者硬件和控制器故障C. 应用日志跟踪应
14、用程序关联事件,例如应用程序产生装载DLL(动态链接库)失败信息D. 安全日志跟踪各类网络入侵事件,例如拒绝服务袭击、口令暴力破解等35. 在关系型数据库系统中通过“视图(view)”技术,可以实现如下哪一种安全原则?AA. 纵深防御原则B. 最小权限原则C. 职责分离原则D. 安全性与便利性平衡原则36. 数据库事务日志用途是什么?BA. 事务处理B. 数据恢复C. 完整性约束D. 保密性控制37. 下面对于cookie说法错误是:DA. cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包括信息B. cookie可以存储某些敏感顾客信息,从而导致一定安全风险C.
15、 通过cookie提交精妙构造移动代码,绕过身份验证袭击叫做 cookie欺骗D. 防备cookie欺骗一种有效措施是不使用cookie验证措施,而使用session验证措施38. 袭击者在远程WEB页面HTML代码中插入具有恶意目数据,顾客认为该页面是可信赖,不过当浏览器下载该页面,嵌入其中脚本将被解释执行,这是哪种类型漏洞?DA. 缓冲区溢出B. SQL注入C. 设计错误D. 跨站脚本39. 一般在网站数据库中,顾客信息中密码一项,是以哪种形式存在? CA. 明文形式存在B. 服务器加密后密文形式存在C. hash运算后消息摘要值存在D. 顾客自己加密后密文形式存在40.下列属于DDOS袭
16、击是:BA. Men-in-Middle袭击B. SYN洪水袭击C. TCP连接袭击D. SQL注入袭击41.假如一名袭击者截获了一种公钥,然后他将这个公钥替代为自己公钥并发送给接受者,这种状况属于哪一种袭击?DA. 重放袭击B. Smurf袭击C. 字典袭击D. 中间人袭击42. 渗透性测试第一步是:A. 信息搜集B. 漏洞分析与目选定C. 拒绝服务袭击D. 尝试漏洞运用43. 通过网页上钓鱼袭击来获取密码方式,实质上是一种:A. 社会工程学袭击B. 密码分析学C. 旁路袭击D. 暴力破解袭击44.如下哪个不是减少软件自身安全漏洞和缓和软件自身安全漏洞危害措施?A. 加强软件安全需求分析,精
17、确定义安全需求B. 设计符合安全准则功能、安全功能与安全方略C. 规范开发代码,符合安全编码规范D. 编制详细软件安全使用手册,协助设置良好安全使用习惯45.根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中_确立安全处理方案置信度并且把这样置信度传递给客户。A. 保证过程B. 风险过程C. 工程和保证过程D. 安全工程过程46.下列哪项不是SSE-CMM模型中工程过程过程区?A. 明确安全需求B. 评估影响C. 提供安全输入D. 协调安全47. SSE-CMM工程过程区域中风险过程包括哪些过程区域?A. 评估威胁、评估脆弱性、评估影响B. 评估威胁、评估脆弱性、评估安全风险C. 评估
18、威胁、评估脆弱性、评估影响、评估安全风险D. 评估威胁、评估脆弱性、评估影响、验证和证明安全48.在IT项目管理中为了保证系统安全性,应当充足考虑对数据对处理,如下哪一项不是对数据输入进行校验可以实现安全目:A. 防止出现数据范围以外值B. 防止出现错误数据处理次序C. 防止缓冲区溢出袭击D. 防止代码注入袭击49.信息安全工程监理工程师不需要做工作是:A.编写验收测试方案B.审核验收测试方案C.监督验收测试过程D.审核验收测试汇报50. 下面哪一项是监理单位在招标阶段质量控制内容?A. 协助建设单位提出工程需求,确定工程整体质量目B. 根据监理单位信息安全保障知识和项目经验完毕招标文献中技术
19、需求部分C. 进行风险评估和需求分析完毕招标文献中技术需求部分D. 对标书应答技术部分进行审核,修改其中不满足安全需求内容51. 信息安全保障强调安全是动态安全,意味着:A. 信息安全是一种不确定性概念B. 信息安全是一种主观概念C. 信息安全必须覆盖信息系统整个生命周期,伴随安全风险变化有针对性进行调整D. 信息安全只能是保证信息系统在有限物理范围内安全,无法保证整个信息系统安全52.有关信息保障技术框架(IATF),下列说法错误是:A. IATF强调深度防御,关注当地计算环境,区域边界,网络和基础设施,支撑性基础设施等多种领域安全保障;BIATF强调深度防御,即对信息系统采用多层防护,实现
20、组织业务安全运作C. IATF强调从技术、管理和人等多种角度来保障信息系统安全D. IATF强调是以安全监测、漏洞监测和自合用填充“安全间隙”为循环来提高网络安全53.下面哪一项表达了信息不被非法篡改属性?A. 可生存性B. 完整性C.精确性D.参照完整性54. 如下有关信息系统安全保障是主观和客观结合说法最精确是:A信息系统安全保障不仅波及安全技术,还应综合考虑安全管理,安全工程和人员安全等,以全面保障信息系统安全B.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统所有者提供其既有安全保障工作与否满足其安全保障目信心。C. 是一种通过客观证据向信息系统评估者提供主观信心活动
21、D. 是主观和客观综合评估成果55. 公钥密码算法和对称密码算法相比,在应用上优势是:A. 密钥长度更长B. 加密速度更快C. 安全性更高D. 密钥管理更以便56. 如下哪种公钥密码算法既可以用于数据加密又可以用于密钥互换?A. DSSB. Diffse-HellmanC. RSAD AES57. 目前对MD5,SHA1算法袭击是指:A. 可以构造出两个不一样消息,这两个消息产生了相似消息摘要B. 对于一种已知消息摘要,可以构造出一种不一样消息,这两个消息产生了相似消息摘要。C 对于一种已知消息摘要,可以恢复其原始消息D. 对于一种已知消息,可以构造一种不一样消息摘要,也能通过验证。58、 D
22、SA算法不提供如下哪种服务?A. 数据完整性B. 加密C. 数字签名D. 认证59.有关PKI/CA证书,下面哪一种说法是错误:A. 证书上具有证书授权中心数字签名B. 证书上列有证书拥有者基本信息C. 证书上列有证书拥有者公开密钥D. 证书上列有证书拥有者秘密密钥60 认证中心(CA)关键职责是_?A. 签发和管理数字证书B. 验证信息C. 公布黑名单D. 撤销顾客证书61 下列哪一项是虚拟专用网络(VPN)安全功能?A. 验证,访问控制和密码B. 隧道,防火墙和拨号C. 加密,鉴别和密钥管理D. 压缩,解密和密码62 如下对Kerberos协议过程说法对是:A. 协议可以分为两个环节:一是
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISP 相关 试题 答案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。