CISP模拟考试100题及答案(最新整理)
CISP模拟考试100题及答案(整理)
CISP模拟考试100题及答案(最新整理)1、在参考监视器概念中,一个参考监视器不需要符合以下哪个设计要求?BA必须是TAMPERPROOFB必须足够大C必须足够小D必须总在其中2、CTCPEC标准中,安全功能要求包括以下哪方面内容?ABDEA机密性要求B完整性要求;C保证要求;D可用性要求;E可控性要求3、TCP/IP协议的4层概念模型是?AA.应用层、传输层、网络层和网络接口层B.应用层、传输层、网络层和物理层C.应用层、数据链路层、网络层和网络接口层D.会话层、数据链路层、网络层和网络接口层4、中国信息安全产品测评认证中心的四项业务是什么?ABCDA.产品测评认证;B.信息系统安全测评认证;C.信息系统安全服务资质认证;D.注册信息安全专业人员资质认证5、以下哪一项对安全风险的描述是准确的?CA、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。
B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。
C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性D、安全风险是指资产的脆弱性被威胁利用的情形。
6、以下哪些不属于脆弱性范畴?AA、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯7、依据信息系统安全保障模型,以下那个不是安全保证对象AA、机密性B、管理C、过程D、人员8、系统审计日志不包括以下哪一项?DA、时间戳B、用户标识C、对象标识D、处理结果9、TCP三次握手协议的第一步是发送一个:AA、SYN包B、SCK包C、UDP包D、NULL包A、系统中数据的重要性B、采用网络监控软件的可行性C、如果某具体行动或过程没有被有效控制,由此产生的风险等级D、每个控制技术的效率,复杂性和花费11、用户如果有熟练的技术技能且对程序有详尽的了解,就能巧妙的避过安全性程序,对生产程序做出更改。
为防止这种可能,要增强:BA、工作处理报告的复查B、生产程序于被单独控制的副本之间的比较C、周期性测试数据的运行D、恰当的责任分割12、我国的强制性国家标准的写法?AA、GB13、OSI中哪一层不提供机密性服务?DA、表示层B、传输层C、网络层D、会话层14、程序安全对应用安全有很大的影响,因此安全编程的一个重要环节。
CISP试题与答案(515多题整理版)
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP试题及答案详解
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】 B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】 C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP试题及答案
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】 B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】 C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP整理试题及标准答案
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A.ﻩ操作系统B.网络C.ﻩ数据库D.应用程序系统答案:A2.下述攻击手段中不属于DOS攻击的是:()A.ﻩSmurf攻击B.ﻩLand攻击C. Teardrop攻击D.CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A.ﻩ“普密”、“商密”两个级别B.“低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D.ﻩ“一密”、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A.ﻩ集成测试、单元测试、系统测试、验收测试B.ﻩ单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D.ﻩ单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A.ﻩ一楼B.ﻩ地下室C. 顶楼D.ﻩ除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A.ﻩ测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B.ﻩ认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C.ﻩ对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D.ﻩ通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A.ﻩ系统管理员B.ﻩ律师C.ﻩ恢复协调员D.ﻩ硬件和软件厂商答案:B。
8.下面的哪种组合都属于多边安全模型?A.ﻩTCSEC和Bell-LaPadulaB.Chinese Wall和BMAC. TCSEC 和Clark-WilsonD. Chinese Wall 和Biba答案:B。
CISP模拟练习题350道(带答案)
CISP模拟练习题350道(带答案)- - 1 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------中国信息安全测评中心CISP认证模拟试题中电运行信息安全网络技术测评中心编辑- - 2 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------1.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?A.提高信息技术产品的国产化率B.保证信息安全资金投入C.加快信息安全人才培养D.重视信息安全应急处理工作2.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?A.强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程B.强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标C.以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心D.通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征3.以下关于信息系统安全保障是主观和客观的结合说法最准确的是:A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全B.通过技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C.是一种通过客观证据向信息系统评估者提供主观信心的活动D.是主观和客观综合评估的结果4.与PDR模型相比,P2DR模型多了哪一个环节?A.防护B.检测C.反应D.策略5.在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于_______。
[全]CISP-CISE模拟试题及参答案
![[全]CISP-CISE模拟试题及参答案](https://img.taocdn.com/s3/m/e6196dc8bb68a98270fefaad.png)
CISP-CISE模拟试题及参答案CISP-CISE模拟试题1.信息安全等级保护分级要求,第三级别适用正确的是:A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有定影响,但不危害国家安全、社会秩序、经济建设和公共利益B、适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害C、适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害D、适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害参考答案:B选项A是1级;选项D是5级,涉及国家公安的特别严重损害,二者都排除。
国家安全高于社会秩序和公众利益,因此选项B情形对国家安全造成一定损善变达到了三级。
2、下面对国家秘密定级和范围的描述中,哪项不符合《保守国家秘密法》要求:A.国家秘密及其密级的具体范围,由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定B. 各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定确定密级C. 对是否属于国家机密和属F何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,然后报国家保密工作部门确定D、对是否属于国家秘密和属于何种密级不明确的事项。
由国家保密工作部门,省、自治区、直辖市的保密工作部门。
省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门审定或者国家保密工作部门审定的机关确定。
参考答案:C解析:保守国家秘密法第第二十条机关、单位对是否属于国家秘密或者属于何种密级不明确或者有争议的,由国家保密行政管理部门或者省、自治区、且辖市保密行政管理部门确定。
3. 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,加强在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理。
cisp试题及答案(515多题整理版)
cisp试题及答案(515多题整理版) cisp试题及答案(515多题整理版)1. 以下哪项不是CISP的组成部分?A. 信息安全政策B. 信息安全组织C. 信息安全培训D. 信息安全审计答案:D2. CISP的全称是什么?A. Certified Information Systems ProfessionalB. Certified Information Security ProfessionalC. Certified Information Systems Security ProfessionalD. Certified Information System Professional答案:B3. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 5年答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机试C. 口试D. 实操答案:B5. CISP认证的考试语言有哪些?A. 英语B. 中文C. 法语D. 所有选项答案:D6. CISP认证考试的题型是什么?A. 单选题B. 多选题C. 判断题D. 简答题答案:A7. CISP认证考试的总题数是多少?A. 100题B. 200题C. 300题D. 400题答案:C8. CISP认证考试的通过分数是多少?A. 60%B. 70%C. 80%D. 90%答案:C9. CISP认证考试的考试时间是多长?A. 1小时B. 2小时C. 3小时D. 4小时答案:C10. CISP认证考试的报名费用是多少?A. 500美元B. 700美元C. 1000美元D. 1500美元答案:B11. CISP认证考试的考试内容主要涉及哪些方面?A. 信息安全管理B. 信息安全技术C. 信息安全法律D. 所有选项答案:D12. CISP认证考试的考试内容不包括以下哪项?A. 风险评估B. 业务持续性管理C. 信息安全策略D. 数据库管理答案:D13. CISP认证考试的考试内容中,关于信息安全策略的知识点包括哪些?A. 信息安全策略的制定B. 信息安全策略的实施C. 信息安全策略的评估D. 所有选项答案:D14. CISP认证考试的考试内容中,关于风险评估的知识点包括哪些?A. 风险识别B. 风险分析C. 风险处理D. 所有选项答案:D15. CISP认证考试的考试内容中,关于业务持续性管理的知识点包括哪些?A. 业务影响分析B. 灾难恢复计划C. 应急响应计划D. 所有选项答案:D16. CISP认证考试的考试内容中,关于信息安全技术的知识点包括哪些?A. 加密技术B. 防火墙技术C. 入侵检测系统D. 所有选项答案:D17. CISP认证考试的考试内容中,关于信息安全法律的知识点包括哪些?A. 数据保护法B. 计算机犯罪法C. 知识产权法D. 所有选项答案:D18. CISP认证考试的考试内容中,关于信息安全管理的知识点包括哪些?A. 安全管理的框架B. 安全管理的过程C. 安全管理的控制D. 所有选项答案:D19. CISP认证考试的考试内容中,关于信息安全培训的知识点包括哪些?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 所有选项答案:D20. CISP认证考试的考试内容中,关于信息安全审计的知识点包括哪些?A. 审计计划B. 审计程序C. 审计报告D. 所有选项答案:D21. CISP认证考试的考试内容中,关于信息安全组织管理的知识点包括哪些?A. 组织结构B. 组织政策C. 组织文化D. 所有选项答案:D22. CISP认证考试的考试内容中,关于信息安全培训的知识点不包括以下哪项?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 培训课程设计答案:D23. CISP认证考试的考试内容中,关于信息安全审计的知识点不。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISP模拟考试100题及答案(最新整理)1、在参考监视器概念中,一个参考监视器不需要符合以下哪个设计要求?BA必须是TAMPERPROOFB必须足够大C必须足够小D必须总在其中2、CTCPEC标准中,安全功能要求包括以下哪方面内容?ABDEA机密性要求B完整性要求;C保证要求;D可用性要求;E可控性要求3、TCP/IP协议的4层概念模型是?AA.应用层、传输层、网络层和网络接口层B.应用层、传输层、网络层和物理层C.应用层、数据链路层、网络层和网络接口层D.会话层、数据链路层、网络层和网络接口层4、中国信息安全产品测评认证中心的四项业务是什么?ABCDA.产品测评认证;B.信息系统安全测评认证;C.信息系统安全服务资质认证;D.注册信息安全专业人员资质认证5、以下哪一项对安全风险的描述是准确的?CA、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。
B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。
C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性D、安全风险是指资产的脆弱性被威胁利用的情形。
6、以下哪些不属于脆弱性范畴?AA、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯7、依据信息系统安全保障模型,以下那个不是安全保证对象AA、机密性B、管理C、过程D、人员8、系统审计日志不包括以下哪一项?DA、时间戳B、用户标识C、对象标识D、处理结果9、TCP三次握手协议的第一步是发送一个:AA、SYN包B、SCK包C、UDP包D、NULL包10、以下指标可用来决定在应用系统中采取何种控制措施,除了()BA、系统中数据的重要性B、采用网络监控软件的可行性C、如果某具体行动或过程没有被有效控制,由此产生的风险等级D、每个控制技术的效率,复杂性和花费11、用户如果有熟练的技术技能且对程序有详尽的了解,就能巧妙的避过安全性程序,对生产程序做出更改。
为防止这种可能,要增强:BA、工作处理报告的复查B、生产程序于被单独控制的副本之间的比较C、周期性测试数据的运行D、恰当的责任分割12、我国的强制性国家标准的写法?AA、GB13、OSI中哪一层不提供机密性服务?DA、表示层B、传输层C、网络层D、会话层14、程序安全对应用安全有很大的影响,因此安全编程的一个重要环节。
用软件工程的方法编制程序是保证安全的根本。
在程序设计阶段,推荐使用的方法有:Aa建立完整的与安全相关的程序文件b严格控制程序库c正确选用程序开发工具d制定适当的程序访问控制A. a、b、c、dB. a、b、cC. b、c、dD. b、c15、Chinese Wall模型的设计宗旨是:AA、用户只能访问那些与已经拥有的信息不冲突的信息B、用户可以访问所有的信息C、用户可以访问所有已经选择的信息D、用户不可以访问那些没有选择的信息16、对不同的身份鉴别方法所提供的按防止重用攻击从大到小:CA、仅用口令,口令及个人识别号(PIN),口令响应,一次性口令B、口令及个人识别号(PIN),口令响应,一次性口令,仅由口令C、口令响应,一次性口令,口令及个人识别号(PIN),仅有口令D、口令响应,口令及个人识别号(PIN),一次性口令,仅有口令17、下面那个协议在TCP/IP协议的低层起作用?BA、SSLB、SKIPC、S-HTTPD、S-PPC18、UDP端口扫描的依据是:AA、根据扫描对放开房端口返回的信息判断B、根据扫描对方关闭端口返回的信息判断C、综合考虑A和B的情况进行判断D、既不根据A也不根据B19、企业内部互联网可以建立在企业内部网络上或是互联网上。
以下哪一项控制机制是最不合适于在互联网上建立一个安全企业内部互联网的?BA、用户信道加密B、安装加密的路由器C、安装加密的防火墙D、在私有的网络服务器上实现密码控制机制20、以下的危险情况哪一个不适与数字签名和随机数字有关的?DA、伪装B、重复攻击C、密码威胁D、拒绝服务21、安全标志和访问控制策略是由下面哪一个访问控制制度所支持的?DA、基于身份的制度B、基于身份认证的制度C、用户指导制度D、强制访问控制制度22、以下哪个安全特征和机制是SQL数据库所特有的?BA、标识和鉴别B、交易管理C、审计D、故障承受机制23、下面有关IPSec的描述中错误的是?AA、IETF中的IPSEC标准夭折在用户和设备之间建立一个加密通道B、VPN设备常常不能符合IPSEC标准24、“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:CA、普密、商密两个级别B、低级和高级两个级别C、绝密、机密、秘密三个级别D、一密、二密、三密、四密四个级别25、除了对访问、处理、程序变更和其他功能进行控制外,为保障系统的安全需要仍需要建立信息审计追踪。
在一个用来记录非法的系统访问尝试的审计追踪日志中,一般不会包括下列哪项信息?DA、授权用户列表B、事件或交易尝试的类型C、进行尝试的终端D、被获取的数据26、帧中继和X.25网络是以下哪个选项的一部分?CA、电路交换服务B、单元交换服务C、分组交换服务D、专用数字服务27、在分布式开放系统的环境中,以下哪个选项的数据库访问服务提供允许或禁止访问的能力?CA、对话管理服务B、事务管理服务C、资源管理服务D、控制管理服务28、为了阻止网络假冒,最好的方法是:CA、回拨技术B、文件加密C、回拨技术加上数据加密D、拨号转移技术29、以下哪一项不能适应特洛伊木马的攻击?BA、强制访问控制B、自主访问控制C、逻辑访问控制D、访问控制表30、以下哪一种人给公司带来最大的安全风险?DA、临时工B、咨询人员C、以前员工D、当前员工31、一个公司经常修正其生产过程。
从而造成对处理程序可能会伴随一些改动。
下列哪项功能可以确保这些改动的影响处理过程,保证它们对系统的影响风险最小?BA、安全管理B、变更控制C、问题追踪D、问题升级程序32、应用软件测试的正确顺序是:DA、集成测试,单元测试,系统测试,交付测试B、单元测试,系统测试,集成测试,交付测试C、交付测试,单元测试,集成测试,系统测试D、单元测试,集成测试,系统测试,交付测试33、哪个TCP/IP指令会得出下面结果?AInterface:199.102.30.152Internet Address Physical Address Type 199.102.30.152 Ao-ee-oo-5b-oe-ac dynamicA、ARPB、NetstatC、TracertD、Nbtstat34、哪个TCP/IP协议能够表明域里哪台是邮件服务器?DA、FTPB、nslookupC、tracertD、Telnet35、SMTPl连接服务器使用端口BA、21B、2536、数据库管理系统DBMS 主要由哪两大部分组成?CA、文件管理器和查询处理器B、事务处理器和存储管理器C、存储管理器和查询处理器D、文件管理器和存储管理器37、SQL语言可以在宿主语言中使用,也可以独立地交互式使用。
BA、寄宿B、嵌入C、混合D、并行38、下列为对称加密算法的例子为AA、RijndaelB、RSAC、Diffie-HellmanD、Knapsack39、下面哪种不是WINDOWS 2000安装后默认有的共享?DA、C$B、Ipc$C、Admin$D、Systemroot$40、在WINDOWS 2000系统中,用什么命令或工具可以看到系统上开放的端口和进程的对应关系?CA、NETSTATB、NET USEC、FPORTD、URLSCAN41、为尽量防止通过浏览网页感染恶意代码,下列做法中错误的是:DA、不使用IE浏览器,而使用Opera之类的第三方浏览器。
B、关闭IE浏览器的自动下载功能。
C、禁用IE浏览器的活动脚本功能。
D、先把网页保存到本地再浏览。
42、下列关于病毒和蠕虫的说法正确的是:BA、红色代码(CodeRed)是病毒。
B、Nimda是蠕虫。
C、CIH病毒可以感染WINDOWS 98 也可以感染WINDOWS 2000.D、世界上最早的病毒是小球病毒。
43、下列为非对称加密算法的例子为DA、IDEAB、DESC、3DESD、ELLIPTOC CURVE44、为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?DA、人际关系技能B、项目管理技能C、技术技能D、沟通技能45、保护轮廓(PP)是下面哪一方提出的安全要求?CA、评估方B、开发方C、用户方D、制定标准方46、在执行风险分析的时候,预期年度损失(ALE)的计算是:CA、全部损失乘以发生频率B、全部损失费用=实际替代费用C、单次预期损失乘以发生频率D、资产价值乘以发生频率47、有三种基本的鉴别的方式:你知道什么,你有什么,以及:CA、你需要什么B、你看到什么C、你是什么D、你做什么48、以下哪个选项不是信息中心(IC)工作职能的一部分?AA、准备最终用户的预算B、选择PC的硬件和软件C、保持所有PC的硬件和软件的清单D、提供被认可的硬件和软件的技术支持49、在最近一次工资数据更新之后,一个未经授权的员工从公司的计算机中心得到了打印的公司数据表,为保证只有经授权的员工才能得到敏感的打印数据,控制手段包括日志和:AA、有控制地销毁作废的打印数据B、接收人的签名确认C、对磁盘上的打印输出文件进行访问控制D、敏感打印数据的强制过期日期50、下面哪一个是国家推荐性标准?AA、GB/T 18020-1999 应用级防火墙安全技术要求B、SJ/T 30003-93 电子计算机机房施工及验收规范C、GA 243-2000 计算机病毒防治产品评级准则D、ISO/IEC 15408-1999 信息技术安全性评估准则51、为了确定自从上次合法的程序更新后程序是否被非法改变过,信息系统安全审核员可以采用的审计技术是:AA、代码比照B、代码检查C、测试运行日期D、分析检查52、在WINDOWS 2000系统中,哪个进程是IIS服务的进程?AA、Inetinfo.exeB、Lsass.exeC、Mstask.exeD、Internat.exe53、下面哪一个用于电子邮件的鉴别和机密性? CA、数字签名B、IPSEC AHC、PGPD、MD454、在某个攻击中,入侵者通过由系统用户或系统管理员主动泄漏的可以访问系统资源的信息,获得系统访问权限的行为被称作:AA、社会工程B、非法窃取C、电子欺骗D、电子窃听55、CC的一般模型基于:AA、风险管理模型B、Bell lapadula模型C、PDCA模型D、PDR模型56、ITSEC中的E1-E5对应TCSEC中哪几个级别?ACA、D到B2B、C2到B3C、C1到B3D、C2到A157、事件响应方法学定义了安全事件处理的流程,这个流程的顺序是:CA、准备-抑制-检测-根除-恢复-跟进B、准备-检测-抑制-恢复-根除-跟进C、准备-检测-抑制-根除-恢复-跟进D、准备-抑制-根除-检测-恢复-跟进58、PDR模型中,下面哪个措施不属于防护(P)措施:CA、物理门禁B、防火墙C、入侵检测D、加密59、CC中的评估保证级(EAL)4级涵义是:CA、结构测试级B、方法测试和校验级C、系统的设计、测试和评审级D、半形式化设计和测试级60、以下哪一项是已经被确认了的具有一定合理性的风险?CA、总风险B、最小化风险C、可接受风险D、残余风险61、随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:DA、测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估、认证一系列环节。