CISP2018_信息安全支撑技术_V4.1

CISP信息安全支撑技术1. 以下对单点登录技术描述不正确的是:() [单选题] *A.单点登录技术实质是安全凭证在多个用户之间的传递或共享(正确答案)B.使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用C.单点登录不仅方便用户使用,而且也便于管理D.使用单点登录技术能简化应用系统的开发2.分组密码算法是一类十分重要的密码算法，下面描述中，错误的是() [单选题] *A. 分组密码算法要求输入明文按组分成固定长度的块B. 分组密码算法每次计算得到固定长度的密文输出块C. 分组密码算法也称为序列密码算法(正确答案)D. 常见的 DES、IDEA 算法都属于分组密码算法3. 密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法，密码协议也是网络安全的一个重要组成部分。

下面描述中，错误的是() [单选题] *A. 在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住所有的执行步骤，有些复杂的步骤可以不明确处理方式(正确答案)B. 密码协议定义了两方或多方之间为完成某项任务而制定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行C. 根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信任的人，也可能是敌人和互相完全不信任的人D. 密码协议( cryptographic protocol )，有时也称安全协议( security protocol)，是使用密码学完成某项特定的任务并满足安全需求，其目的是提供安全服务4. 美国计算机协会(ACM)宣布将 2015 年的 ACM 奖授予给 Whitfield Diffic和 Wartfield 下面哪项工作是他们的贡献()。

[单选题] *A. 发明并第一个使用 C 语言B. 第一个发表了对称密码算法思想C. 第一个发表了非对称密码算法思想(正确答案)D. 第一个研制出防火墙5.. 口令破解是针对系统进行攻击的常用方法，Windows 系统安全策略中应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略，关于这两个策略说明错误的是 [单选题] *A. 密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控B. 密码策略对系统中所有的用户都有效C. 账户锁定策略的主要作用是应对口令暴力破解攻击，能有效的保护所有系统用户被口令暴力破解攻击(正确答案)D. 账户锁定策略只适用于普通用户，无法保护管理员 administrator 账户应对口令暴力破解攻击6. 由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置账户锁定策略以对抗口令暴力破解。

cisp试题及答案一、概述CISP（Certified Information Security Professional）是国际上广泛认可的信息安全专业资格认证体系。

通过取得CISP认证，可以证明个人在信息安全领域具备丰富的专业知识和技能，有能力保护企业和组织的信息资产安全。

二、CISP试题内容概述CISP考试内容涵盖了信息安全的各个方面，包括但不限于以下几个领域：1. 信息安全管理和组织- 安全管理原则和方法论- 安全政策、标准和程序- 组织安全文化和意识培养- 风险管理和评估2. 资产安全管理- 资产分类和管理- 物理安全和环境控制- 信息存储和备份- 资产调查和回收3. 安全工程- 安全需求分析和规划 - 安全设计和实施- 安全评估和测试- 安全操作和维护4. 通信和网络安全- 网络拓扑和架构设计 - 网络设备和防护措施 - 网络协议和加密技术 - 网络安全监测和响应5. 身份和访问管理- 身份认证和授权机制 - 访问控制和权限管理 - 用户账号和密码策略 - 身份和访问审计6. 安全风险管理- 安全事件和威胁管理- 安全漏洞和漏洞管理- 恶意代码和攻击方法- 安全事件响应和处置三、CISP答案示例及解析以下是CISP试题中的一道例题及其对应的答案解析：题目：在信息安全管理中，为了确保安全策略的实施和执行，应该采取以下哪些措施？A. 定期进行安全风险评估B. 员工定期接受安全培训C. 建立安全审计和监控机制D. 所有答案都正确答案解析：D. 所有答案都正确在信息安全管理中，为了确保安全策略的实施和执行，应该综合采取多种措施。

定期进行安全风险评估可以识别和评估潜在的威胁和风险，从而采取相应的安全防护措施。

员工定期接受安全培训可以提高员工的安全意识和技能，减少由于人为因素导致的安全漏洞。

建立安全审计和监控机制可以监控信息系统的安全状况，及时发现和响应安全事件。

因此，以上选项都是确保安全策略实施和执行的重要措施。

注册信息安全专业人员（CISP认证培训）认证介绍国家注册信息安全专业人员(简称：CISP）是有关信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全测评中心实施注册。

2015年6月，全国获得CISP认证资格人员已超过15000名。

认证目的信息安全人员培训与姊姊认定的目的是构建全面的信息安全人才体系。

构建全面的信息安全人才体系是国家政策的要求，是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。

是国家政策的要求：中办发【2003】27号文件《国家信息化领导小组关于加强信息安全保障工作的I 安逸》中提出了“加快悉尼型安全人才培养，增强全民信息安全意识”的知道精神，重点强调了信息安全人才培养的重要性。

是组织机构信息安全保障建设自身的要求：企事业单位、政府机关等组织机构在信息安全保障建设、信息哈U建设中，需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设，从而保障其业务和使命。

是组织机构人员自身职业为发展的要求：作为人员本身，在其工作和职业发展中，需要充实其信息安全保障相关的只是和经验，以更好的开展其工作并为自己的只因为发展提供帮助。

认证价值对组织的价值：高素质的信息安全专业人才队伍，是信息安全的保障；信息安全人员持证上岗，满足政策部门的合规性要求；为组织实施信息安全岗位绩效考核提供了标准和依据；是信息安全企业申请安全服务资质必备的条件对个人的价值：适应市场中越来越热的对信息安全人才的需求；通过专业培训和考试提高个人信息安全从业水平；证明具备从事信息安全技术和管理工作的能力；权威认证提升职场竞争中的自身优势；可以获取信息安全专业人士的认可，方便交流。

认证分类根据工作领域和时间广州的需求，可以分为两类：注册信息安全工程师（CISE ）主要从事信息安全技术开发服务工程建设等工作。

1．美国的关键信息基础设施(critical Information Infrastructure，CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括：A．这些行业都关系到国计民生，对经济运行和国家安全影响深远B．这些行业都是信息化应用广泛的领域C. 这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出D．这些行业发生信息安全事件，会造成广泛而严重的损失答案：C2．关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：A．2001-2002年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构B．2003-2005年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略C．2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成功D．2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈出了坚实步伐答案：C3．依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是：A、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的答案：D*4．以下哪一项是数据完整性得到保护的例子?A．某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B．在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看答案：B*5.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。