CISP认证考试指南

CISP考试(习题卷1)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]制定应急响应策略主要需要考虑A)系统恢复能力等级划分B)系统恢复资源的要求C)费用考虑D)人员考虑答案:D解析:2.[单选题]信息安全风险评估师信息安全风险管理工作中的重要环节。

在《关于开展信息安全 风险评估工作的意见》（国信办[2006]5 号）中，指出了风险评估分为自评估和检 查评估两种形式，并对两种工作形式提出了有关工作原则和要求。

下面选项中描述 错误的是？A)自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行 的风险评估B)检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的 风险评估C)信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补 充D)自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个， 并坚持使用答案:D解析:3.[单选题]区别脆弱性评估和渗透测试是脆弱性评估A)检查基础设施并探测脆弱性，然而穿透性测试目的在于通过脆弱性检测其可能带来的损失B)和渗透测试为不同的名称但是同一活动C)是通过自动化工具执行，而渗透测试是一种完全的手动过程D)是通过商业工具执行，而渗透测试是执行公共进程答案:A解析:4.[单选题]某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址，但是该网 络内有 15 台个人计算机，这些个人计算机不会同时开机并连接互联网。

为解决公司员 工的上网问题，公司决定将这 10 个互联网地址集中起来使用，当任意一台个人计算机 开机并连接网络时，管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给 这个人的计算机。

他关机时，管理中心将该地为收回，并重新设置为未分配。

可见，只 要同时打开的个人计算机数量少于或等于可供分配的 IP 地址，那么，每台个人计算机 可以获取一个 IP 地址，并实现与互联网的连接。

CISSP备考系列指南CISSP（Certified Information Systems Security Professional）是由国际信息系统安全认证联盟（ISC2）认证的全球领先的信息安全专业人士证书。

CISSP认证在全球范围内被广泛认可，是信息安全领域的黄金证书之一、为了帮助考生顺利备考并通过CISSP考试，以下是一系列的备考指南。

1.了解CISSP考试的基本信息CISSP考试是一个全面的、深入的考试，旨在测试考生在以下八个领域的知识和技能：安全与风险管理、资产安全、安全工程、通信与网络安全、身份与访问管理、安全评估与测试、安全操作与业务持续性、软件开发安全。

考试时间为6个小时，共包含250道选择题。

考试分数的及格线是700分（满分1000分）。

2.制定详细的备考计划考生需要制定详细的备考计划，安排每天的学习时间和内容。

建议根据自己的时间安排和个人能力，合理分配每个主题的学习时间，确保能在考试前完成复习。

3.学习CISSP的核心知识领域CISSP考试的核心知识领域包括安全与风险管理、资产安全、安全工程、通信与网络安全、身份与访问管理、安全评估与测试、安全操作与业务持续性、软件开发安全。

考生应该重点学习每个主题的重要概念、原理、技术和最佳实践。

4.阅读权威参考书籍备考CISSP考试时，阅读权威的参考书籍是必不可少的。

推荐的参考书籍包括《CISSP认证指南(第6版)》、《CISSP学习指南(第4版)》等。

这些书籍详细介绍了考试的各个知识领域和相关的概念。

5.参加培训课程参加CISSP培训课程可以帮助考生更好地理解和掌握考试的知识点。

培训课程通常由经验丰富的讲师讲授，结合实际案例进行讲解，对备考具有很大的帮助。

6.进行模拟测试模拟测试是备考CISSP考试的重要环节。

可以通过做模拟测试了解考试的形式和难度，检测自己的知识水平和答题技巧。

同时，还可以帮助考生熟悉考试的时间限制和压力，提高自己的应试能力。

cisp试题及答案一、概述CISP（Certified Information Security Professional）是国际上广泛认可的信息安全专业资格认证体系。

通过取得CISP认证，可以证明个人在信息安全领域具备丰富的专业知识和技能，有能力保护企业和组织的信息资产安全。

二、CISP试题内容概述CISP考试内容涵盖了信息安全的各个方面，包括但不限于以下几个领域：1. 信息安全管理和组织- 安全管理原则和方法论- 安全政策、标准和程序- 组织安全文化和意识培养- 风险管理和评估2. 资产安全管理- 资产分类和管理- 物理安全和环境控制- 信息存储和备份- 资产调查和回收3. 安全工程- 安全需求分析和规划 - 安全设计和实施- 安全评估和测试- 安全操作和维护4. 通信和网络安全- 网络拓扑和架构设计 - 网络设备和防护措施 - 网络协议和加密技术 - 网络安全监测和响应5. 身份和访问管理- 身份认证和授权机制 - 访问控制和权限管理 - 用户账号和密码策略 - 身份和访问审计6. 安全风险管理- 安全事件和威胁管理- 安全漏洞和漏洞管理- 恶意代码和攻击方法- 安全事件响应和处置三、CISP答案示例及解析以下是CISP试题中的一道例题及其对应的答案解析：题目：在信息安全管理中，为了确保安全策略的实施和执行，应该采取以下哪些措施？A. 定期进行安全风险评估B. 员工定期接受安全培训C. 建立安全审计和监控机制D. 所有答案都正确答案解析：D. 所有答案都正确在信息安全管理中，为了确保安全策略的实施和执行，应该综合采取多种措施。

定期进行安全风险评估可以识别和评估潜在的威胁和风险，从而采取相应的安全防护措施。

员工定期接受安全培训可以提高员工的安全意识和技能，减少由于人为因素导致的安全漏洞。

建立安全审计和监控机制可以监控信息系统的安全状况，及时发现和响应安全事件。

因此，以上选项都是确保安全策略实施和执行的重要措施。

CISP考试认证(习题卷1)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试, 以下关于渗透测试过程的说法不正确的是( )。

A)由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数 据备份,以便出现问题时可以及时恢复系统和数据B)为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试C)渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实 际系统中运行时的安全状况D)渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤答案:B解析:在正常业务运行高峰期进行渗透测试可能会影响系统正常运行。

2.[单选题]我国信息安全标准化技术委员会（TC260）目前下属6 个工作组，其中负责信息安全管理的小组是：A)WG1B)WG7C)WG3D)WG5答案:B解析:3.[单选题]以下哪个现象较好的印证了信息安全特征中的动态性( )A)经过数十年的发展,互联网上已经接入了数亿台各种电子设备B)刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险C)某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击D)某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍然产生了泄露答案:B解析:B 体现出了动态性4.[单选题]鉴别是用户进入系统的第一道安全防线， 用户登录系统时。

输入用户名和密码就是对用户身份鉴别。

鉴别通过， 即可以实现两个实体之间的连接。

例如， 一个用户被服务器鉴别通过后， 则被服务器认为是合法用户，才可以进行后续访问。

鉴别是对是信息的一项安全属性进行验证， 该属性属于下列选项中的（ ）A)保密性B)可用性C)真实性D)完整性答案:C解析:5.[单选题]从业务角度出发,最大的风险可能发生在那个阶段A)立项可行性分析阶段B)系统需求分析阶段C)架构设计和编码阶段D)投产上线阶段答案:A解析:6.[单选题]460.一个信息管理系统通常会对用户进行分组并实施访问控制，例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改，下列选项中，对访问控制的作用的理解错误的是（）A)对经过身份鉴别后的合法用户提供所有服务B)拒绝非法用户的非授权访问请求C)在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理D)防止对信息的非授权篡改和滥用答案:A解析:7.[单选题]30. 从 Linux 内核 2.1 版开始，实现了基于权能的特权管理机制，实现了超级用户的特权分割，打破了UNIX/LINUX 操作系统中超级用户/普通用户的概念，提高了操作系统的安全性。

CISP考试(习题卷13)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]以下哪种方法不能有效提高WLAN的安全性：A)修改默认的服务区标识符（SSID）B)禁止SSID广播C)启用终端与AP间的双向认证D)启用无线AP的开放认证模式答案:A解析:2.[单选题]以下哪个属性不会出现在防火墙的访问控制策略配置中?A)本局域网内地址B)百度服务器地址C)HTTP 协议D)病毒类型答案:D解析:3.[单选题]某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时时使Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改。

利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题。

对于网站的这个问题原因分析及解决措施，最正确的说法应该是？A)该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决B)该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施C)该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的问题，应对全网站进行安全改造，所有的访问都强制要求使用httpsD)该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可答案:B解析:4.[单选题]PKI的主要理论基础是：A)对称密码算法B)公钥密码算法C)量子密码D)摘要算法答案:B解析:5.[单选题]下列对强制访问控制描述不正确的是A)主题对客体的所有访问B)强制访问控制时，主体和客体分配一个安全属性C)客体的创建者无权控制客体的访问权限6.[单选题]有什么方法可以测试办公部门的无线安全？A)n War dialing战争语言B)n 社会工程学C)n 战争驾驶D)n 密码破解答案:D解析:7.[单选题]以下哪一种人给公司带来最大的安全风险？A)临时工B)咨询人员C)以前员工D)当前员工答案:D解析:8.[单选题]信息安全风险评估对象确立的主要依据是什么A)系统设备的类型B)系统的业务目标和特性C)系统的技术架构D)系统的网络环境答案:B解析:9.[单选题]为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？A)进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码B)进行离职谈话，禁止员工账号，更改密码C)让员工签署跨边界协议D)列出员工在解聘前需要注意的所有责任答案:A解析:10.[单选题]信息安全风险管理的对象不包括如下哪项A)信息自身B)信息载体C)信息网络D)信息环境答案:C解析:11.[单选题]以下哪种访问控制策略需要安全标签？A)基于角色的策略B)基于标识的策略C)用户指向的策略D)强制访问控制策略答案:DA)资产识别是指对需要保护的资产和系统等进行识别和分类B)威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C)脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱 点，并对脆弱性的严重程度进行评估D)确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系 统平台、网络平台和应用平台答案:D解析:13.[单选题]以下哪些不是网络类资产：A)网络设备B)基础服务平台C)网络安全设备D)主干线路答案:B解析:14.[单选题]如果某个网站允许用户能上传任意类型的文件， 黑客最可能进行的攻击是（ ）。

CISP教材简介CISP（计算机信息安全规范）作为信息安全管理方面的国际标准，对于信息安全领域的专业人员来说至关重要。

CISP教材旨在向学习CISP的人员提供一个全面、系统的学习指南，帮助他们掌握CISP的核心概念、原理和实践操作。

本文档是一份完整的CISP教材，包含以下主要内容： 1. CISP概述 2. CISP认证体系 3. CISP培训路径 4. CISP考试准备 5. CISP教材介绍 6. CISP教学资源 7. CISP 实践案例1. CISP概述CISP是一个国际上被广泛接受的信息安全管理标准，它包含一系列标准和规范，旨在帮助组织建立和维护有效的信息安全管理体系。

CISP的核心目标是保护组织的信息资产，预防信息泄露、恶意攻击和服务中断。

CISP强调风险管理和持续改进，以确保信息安全能够与组织的业务需求保持一致。

CISP的标准覆盖了许多关键领域，包括信息安全政策、组织安全、资产管理、访问控制、密码管理、物理和环境安全、通信和操作管理、系统开发和维护、供应商管理等。

通过遵循CISP标准，组织能够有效地识别、评估和处理信息安全风险，降低信息泄露和攻击的风险，并提高组织的整体安全水平。

2. CISP认证体系CISP认证体系由国际信息系统安全认证联盟（ISC2）负责管理。

ISC2是一个全球性的信息安全组织，致力于推动信息安全专业人员的职业发展和认证。

CISP认证体系包括以下几个重要的认证： - CISP认证（CISP）：适用于各级信息安全专业人员，要求候选人具备一定的工作经验和知识，通过考试来验证其对CISP标准的理解和应用能力。

- CISP关联认证（CCSP）：适用于云安全专业人员，要求候选人具备云安全方面的专业知识和经验，通过考试来验证其对云安全和CISP在云环境中的应用能力。

- CISP架构师认证（CISSP-ISSAP）：适用于信息安全架构师，要求候选人具备丰富的信息安全架构设计经验和CISP知识，通过考试来验证其在信息安全架构设计方面的能力。