CISP样题-含答案
CISP试题与答案(515多题整理版)
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 所有以上选项答案:D2. 在信息安全领域中,以下哪项不属于常见的安全威胁类型?()。
A. 恶意软件B. 自然灾害C. 未经授权访问D. 拒绝服务攻击答案:B3. 风险评估的目的是()。
A. 评估组织的财务状况B. 确定信息资产的价值C. 识别和评估潜在的安全风险D. 增加市场份额答案:C4. 以下哪项是信息安全管理的最佳实践?()。
A. 仅依赖技术解决方案B. 忽略员工的安全意识培训C. 定期进行安全审计和评估D. 仅在发生安全事件后才采取行动答案:C5. CISP认证考试中,关于数据保密性的正确理解是()。
A. 确保数据只能被授权用户访问B. 确保数据的完整性C. 确保数据的可用性D. 确保数据的不可否认性答案:A二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持有者在信息安全领域具有专业知识和技能。
答案:国际信息系统安全认证联盟(ISC)²2. 在信息安全中,________是一种通过隐藏信息内容来保护数据不被未授权者理解的方法。
答案:加密3. 为了防止网络攻击,组织应该实施________策略,以确保所有用户和设备都符合安全标准。
答案:安全访问控制4. 信息安全事件响应计划的主要目的是________,减少安全事件对组织的影响。
答案:快速识别和响应安全事件5. 社会工程攻击利用的是人的________,通过欺骗手段获取敏感信息或访问权限。
答案:心理弱点三、简答题1. 描述信息安全管理的三个关键组成部分。
答:信息安全管理的三个关键组成部分包括策略制定,即制定明确的安全目标和规则;实施控制措施,包括技术和程序控制以降低风险;以及持续监控和审计,确保安全措施的有效性并进行必要的调整。
2. 解释什么是渗透测试以及它在信息安全中的作用。
CISP试题及答案---精品管理资料
1。
以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B。
信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2。
以下对信息安全管理的描述错误的是A。
保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3。
以下对信息安全管理的描述错误的是A。
信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D。
信息安全管理工作的重点是信息系统,而不是人【答案】 D4。
企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A。
不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D。
所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A。
ISMS是一个遵循PDCA模式的动态发展的体系B。
ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D。
ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6。
PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C。
阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D。
信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A。
CISP整理试题及标准答案
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A.ﻩ操作系统B.网络C.ﻩ数据库D.应用程序系统答案:A2.下述攻击手段中不属于DOS攻击的是:()A.ﻩSmurf攻击B.ﻩLand攻击C. Teardrop攻击D.CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A.ﻩ“普密”、“商密”两个级别B.“低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D.ﻩ“一密”、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A.ﻩ集成测试、单元测试、系统测试、验收测试B.ﻩ单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D.ﻩ单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A.ﻩ一楼B.ﻩ地下室C. 顶楼D.ﻩ除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A.ﻩ测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B.ﻩ认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C.ﻩ对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D.ﻩ通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A.ﻩ系统管理员B.ﻩ律师C.ﻩ恢复协调员D.ﻩ硬件和软件厂商答案:B。
8.下面的哪种组合都属于多边安全模型?A.ﻩTCSEC和Bell-LaPadulaB.Chinese Wall和BMAC. TCSEC 和Clark-WilsonD. Chinese Wall 和Biba答案:B。
CISP试题及答案 9套题
培训模拟考试(二)CISP莁莇姓名:单位:袆端口?使用哪个TCP.1FTP芄D.53A.21 B.23 C.110螁肈使用哪个端口?认证协议的一种?)2.TACACS(终端访问控制器访问控制系统,AAA蚃D.UDP 49.TCP 69 B.TCP 49 (TACACS+) C.UDP 69A莂膀轻量目录访问协议,根据目录树的结构给予不同的员工使用哪个端口?(LDAP3.LDAP袈组不同的权限)C.UDP 139D.UDP 389.TCP 119 A.TCP 139 B 螄蒁4.FINGER服务使用哪个TCP端口?(Finger服务可用于查询用户的信息,包括网上成薀员的真实姓名、用户名、最近登录时间和地点等,要关闭)D.70 C.79 69 B.119 A.蕿螆5.DNS 查询(queries)工具中的DNS服务使用哪个端口?螃D.TCP 53C.UDP 23.A UDP 53 B.TCP 23 聿荿6.在零传输(Zone transfers)中DNS服务使用哪个端口?薃.ATCP 53B. UDP 53C.UDP 23D. TCP 23羂.蒈7.哪个端口被设计用作开始一个SNMP Trap?聿D. TCP 169B. UDP 161C.UDP 162A.TCP 161 蚄芄8.在C/S环境中,以下哪个是建立一个完整TCP连接的正确顺序?膂ACK ,ACK,ACK B.Passive Open,Active OpenA.SYN,SYN/ACK,薆ACK D.Active Open /Passive Open ACK/SYN,ACK ,ACK,C.SYN,蚆莂9.TCP/IP的通信过程是?薁> ——,——SYN/ACK————>,<ACKA.——SYN/ACK芆> ——<——SYN/ACK——,——ACKB.——SYN/ACK——>,蒃ACK——,——ACK,——SYN——><——,C.——SYN——><薁>,<——SYN/ACK——,——ACK——SYND.————>羀肆10.TCP握手中,缩写RST指的是什么?薅RestD..Response CReply State.AResetB.袃蒀11.191.64.12.22是哪类地址?螇类D.D.CC类类.AA类B.B蚆羁12.255.0.0.0是哪类网址的默认MASK?衿DD CC BB AA.类.类.类.类薇.蒃MASK?.255.255.255.0是哪类网址的默认13莄DD.类C.C类A.A类B.B类艿芈模型中哪一层最难进行安全防护?14.OSI蒅D.表示层C.应用层.网络层A B.传输层蒂羂端口运行?在哪个TCP15.Rlogin肈271D.C.212 B A.114 .513 薆薁7层的对应关系?16.以下哪个标准描述了典型的安全服务和OSI模型中莁IATF D.BS 7799 B.C.通用评估准则A.ISO/IEC 7498-2螈莃的哪一层?SSH的用户鉴别组件运行在OSI17.羃D.物理层.会话层 C .传输层A B.网络层袁葿地址是多少位?.Ethernet MAC18莅.48位位位C.24 D B36A.位.32肁芀MasterCard共同开发的用于信用卡交易的安全协议是什么?Visa19.和艿DES.三重.CPPTP D (安全电子交易协议)..ASSLBSET蒆) 安全电子交易协议secure Electronic Transaction(SET蒄.20.互联网的管理是?虿.半分布式的D C B.半集中式的.分布式的A.集中式的罿芄21.互联网目前主要使用以下哪个协议?薂MAP. D C.TCP/IPA.SNAB.DECnet 薁羈22.以下哪个是被动攻击的例子?螇D.消息删减C.消息延迟A.通信量分析B.消息修改膂羀23.以下哪个不属于防火墙典型的组件或者功能?蚈.数据包路由.扩展的日志容量D B.应用网关CA.协议过滤袈薅24.挑选密码算法最重要应该考虑?蚃D .专利和授权.速度和专利C.速度和安全.安全和授权A B蒈蚆25.下面关于PGP和PEM说法不对的是?蚃A.它们都能加密消息都基于公钥C.它们用法一样D.B.它们都能签名膃技术腿26.Kerberos能够防止哪种攻击?蚇D .过程攻击.破坏性攻击B A.隧道攻击.重放攻击C肅薂27.以下哪个与电子邮件系统没有直接关系?罿X.400.X.500 D.PGP C.A.PEMB螈膄28.对防火墙的描述不对的是?羂.防火墙能够产生审计日志BA.防火墙能够执行安全策略蚀C.防火墙能够限制组织安全状况的暴露D.防火墙能够防病毒薆蒆29.下列几个OSI层中,哪一层既提供机密性服务又提供完整性服务?莁D.表示层.应用层?A.数据链路层B.物理层C莀薇30.下列几个OSI层中,哪一层能够提供访问控制服务?蚅.数据链路层.会话层D? B.表示层C A.传输层袀膀31.以下哪个是可以用于连接两个或多个局域网最简单的网络装置?虿D.防火墙C.网关A.路由器B.网桥螃薄32.以下哪个是局域网中常见的被动威胁?袁.消息服务的修改D欺骗IP C.嗅探A.拒绝式服务攻击B.蒆肅33.下列哪种设备是在OSI的多个层上工作的?羃D .中继器C.网关.网桥A B.路由器蚁薇34.“如果任何一条线路坏了,那么只有连在这条线路上的终端受影响。
CISP真题及参考答案
答案:D。
4、美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求 时,将信息技术信息分为: A、内网和外网两个部分 B、本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C、用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分 D、可信用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安 全防护措施六个部分
答案:C。
3、关于信息保障技术框架(IATF),下列说法错误的是: A、IATF 强调深度防御,关注本地计算环境、区域边界、网络和基础设施、 支撑性基础设施等多个领域的安全保障; B、IATF 强调深度防御,即对信息系统采用多层防护,实现组织的业务安全 运作; C、IATF 强调从技术、管理和人等多个角度来保障信息系统的安全; D、IATF 强调的是以安全监测、漏洞监测和自适应填充“安全问题”为循环 来提高网络安全
答案:C。
42、 以下关于 Linux 超级权限的说明,不正确的是: A、一般情况下,为了系统安全,对于一般常规基本的应用,不需要 root 用 户来操作完成 B、普通用户可以通过 su 和 sudo 来获得系统的超级权限 C、对系统日志的管理,添加和删除用户等管理工作,必须以 root 用户登录 才能进行 D、Root 是系统的超级用户,无论会否为文件和程序的所有者都具有访问权 限
答案:B。
22、 下列对强制访问控制描述不正确的是: A、主体对客体的所有访问请求按照强制访问控制策略进行控制 B、强制访问控制中,主体和客体分配有一个安全属性 C、客体的创建者无权控制客体的访问权限 D、强制访问控制不可与自主访问控制结合使用
答案:D。
23、 以下哪些模型关注与信息安全的完整性? A、Biba 模型和 Bell-Lapadula 模型 B、Bell-Lapadula 模型和 Chinese Wall 模型 C、Biba 模型和 Clark-Wilson 模型 D、ClarK-Wilson 模型和 Chinese Wall 模型
CISP试题及答案五套题
1.人们对信息平安的认识从信息技术平安开展到信息平安保障,主要是出于:A. 为了更好的完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的开展D. 除了保密性,信息的完整性和可用性也引起了人们的关注2.?GB/T 20274信息系统平安保障评估框架?中的信息系统平安保障级中的级别是指:A. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息平安特征和范畴的说法错误的选项是:A. 信息平安是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素B. 信息平安是一个动态的问题,他随着信息技术的开展普及,以及产业根底,用户认识、投入产出而开展C. 信息平安是无边界的平安,互联网使得网络边界越来越模糊,因此确定一个组织的信息平安责任是没有意义的D. 信息平安是非传统的平安,各种信息网络的互联互通和资源共享,决定了信息平安具有不同于传统平安的特点4. 美国国防部提出的?信息保障技术框架?〔IATF〕在描述信息系统的平安需求时,将信息技术系统分为:A. 内网和外网两个局部B. 本地计算机环境、区域边界、网络和根底设施、支撑性根底设施四个局部C. 用户终端、效劳器、系统软件、网络设备和通信线路、应用软件五个局部D. 信用户终端、效劳器、系统软件、网络设备和通信线路、应用软件,平安防护措施六个局部5. 关于信息平安策略的说法中,下面说法正确的选项是:A. 信息平安策略的制定是以信息系统的规模为根底B. 信息平安策略的制定是以信息系统的网络???C. 信息平安策略是以信息系统风险管理为根底D. 在信息系统尚未建立完成之前,无法确定信息平安策略6. 以下对于信息平安保障深度防御模型的说法错误的选项是:A. 信息平安外部环境:信息平安保障是组织机构平安、国家平安的一个重要组成局部,因此对信息平安的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
cisp试题及答案
cisp试题及答案CISP试题及答案一、选择题(每题1分,共10分)1. 以下哪项不是CISP的认证目标?A. 提升个人网络安全技能B. 增强组织的信息安全防护能力C. 降低网络攻击的风险D. 提高个人编程能力答案:D2. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 终身有效答案:C3. 以下哪个不是CISP考试的科目?A. 信息安全基础B. 网络安全C. 软件开发D. 风险管理答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机考C. 面试D. 现场操作答案:B5. CISP认证的考试语言是?A. 英语B. 中文C. 法语D. 德语答案:A6. 以下哪项不是CISP认证的考试内容?A. 法律、法规和合规性B. 业务连续性管理C. 网络设备配置D. 信息安全管理答案:C7. CISP认证适合哪些人员?A. IT管理人员B. 网络安全专家C. 软件开发人员D. 所有以上答案:D8. CISP认证的考试通过标准是什么?A. 60%正确率B. 70%正确率C. 80%正确率D. 100%正确率答案:B9. CISP认证的考试费用是多少?A. 1000元B. 2000元C. 3000元D. 4000元答案:C10. CISP认证的考试时长是多少?A. 1小时B. 2小时C. 3小时D. 4小时答案:C二、简答题(每题5分,共20分)1. 简述CISP认证的重要性。
答案:CISP认证对于个人而言,是专业能力的认可,有助于职业发展和技能提升。
对于组织而言,拥有CISP认证的员工可以增强组织的信息安全防护能力,降低信息安全风险。
2. 描述CISP认证的考试流程。
答案:CISP认证考试流程通常包括注册、备考、参加考试、成绩公布和认证证书的颁发。
考生需要在指定的考试中心完成机考,考试合格后,将获得认证证书。
3. 解释CISP认证的继续教育要求。
答案:CISP认证持有者需要每两年完成一定的继续教育学分,以保持认证的有效性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.以下对信息安全问题产生的根源描述最准确的是:A. 信息安全问题是由于信息技术的不断发展造成的B. 信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C. 信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的D. 信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏2.中国信息安全测评中心对 CISP 注册信息安全专业人员有保持认证要求,在证书有效期内,应完成至少 6 次完整的信息安全服务经历,以下哪项不是信息安全服务:A、为政府单位信息系统进行安全方案设计B、在信息安全公司从事保安工作C、在公开场合宣讲安全知识D、在学校讲解信息安全课程3. 确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,不为其所用,是指:A、完整性B、可用性C、保密性D、抗抵赖性4. 下列信息系统安全说法正确的是:A.加固所有的服务器和网络设备就可以保证网络的安全B.只要资金允许就可以实现绝对的安全C.断开所有的服务可以保证信息系统的安全D.信息系统安全状态会随着业务系统的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略5. OSI 开放系统互联安全体系架构中的安全服务分为鉴别服务、访问控制、机密性服务、完整性服务、抗抵赖服务,其中机密性服务描述正确的是?A.包括原发方抗抵赖和接受方抗抵赖B.包括连接机密性、无连接机密性、选择字段机密性和业务流保密C.包括对等实体鉴别和数据源鉴别D.包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性页码:16. “进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。
其中,“看不懂”是指下面那种安全服务:A.数据加密B.身份认证C.数据完整性D.访问控制7. 电子商务交易必须具备抗抵赖性,目的在于防止。
A.一个实体假装成另一个实体B.参与此交易的一方否认曾经发生过此次交易C.他人对数据进行非授权的修改、破坏D.信息从被监视的通信过程中泄漏出去8. 下列对于 CC 的“评估保证级”(EAL)的说法最准确的是:A.代表着不同的访问控制强度B.描述了对抗安全威胁的能力级别C. 是信息技术产品或信息技术系统对安全行为和安全功能的不同要求D. 由一系列保证组件构成的包,可以代表预先定义的保证尺度答9. 下列哪一项准确地描述了可信计算基(TCB)?A.TCB只作用于固件(Firmware)B.TCB描述了一个系统提供的安全级别C.TCB描述了一个系统内部的保护机制D.TCB通过安全标签来表示数据的敏感性10.下面关于访问控制模型的说法不正确的是:A. DAC模型中主体对它所属的对象和运行的程序拥有全部的控制权。
B. DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何人的访问。
访问许可必须被显式地赋予访问者。
C.在MAC这种模型里,管理员管理访问控制。
管理员制定策略,策略定义了哪个主体能访问哪个对象。
但用户可以改变它。
D.RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体。
系统进程和普通用户可能有不同的角色。
设置对象为某个类型,主体具有相应的角色就可以访问它。
页码:211.安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中的“简单安全规则”?A.Biba模型中的不允许向上写B.Biba模型中的不允许向下读C.Bell-LaPadula模型中的不允许向下写D.Bell-LaPadula模型中的不允许向上读12.下列关于访问控制模型说法不准确的是?A.访问控制模型主要有 3种:自主访问控制、强制访问控制和基于角色的访问控制。
B.自主访问控制模型允许主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问。
C.基于角色的访问控制 RBAC中“角色”通常是根据行政级别来定义的。
D.强制访问控制MAC是“强加”给访问主体的,即系统强制主体服从访问控制政策。
13.某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分?A.Bell-LaPadula模型B.Biba模型C.信息流模型D.Clark-Wilson模型14.下列哪一项关于 Bell-LaPadula 模型特点的描述是错误的?A. 强调对信息保密性的保护,受到对信息保密要求较高的军政机关和企业的喜爱。
B. 既定义了主体对客体的访问,也说明了主体对主体的访问。
因此,它适用于网络系统。
C. 它是一种强制访问控制模型,与自主访问控制模型相比具有强耦合,集中式授权的特点。
D. 比起那些较新的模型而言,Bell-LaPadula定义的公理很简单,更易于理解,与所使用的实际系统具有直观的联系。
15.下列对于基于角色的访问控制模型的说法错误的是?A. 它将若干特定的用户集合与权限联系在一起B. 角色一般可以按照部门、岗位、工种等与实际业务紧密相关的类别来划分C. 因为角色的变动往往远远低于个体的变动,所以基于角色的访问控制维护起来比较便利D. 对于数据库系统的适应性不强,是其在实际使用中的主要弱点16.下列哪类访问控制模型是基于安全标签实现的?A. 自主访问控制B. 强制访问控制C. 基于规则的访问控制D. 基于身份的访问控制17.根据 PPDR 模型:A.一个信息系统的安全保障体系应当以人为核心,防护、检测和恢复组成一个完整的、动态的循环B.判断一个系统系统的安全保障能力,主要看安全策略的科学性与合理性,以及安全策略的落实情况C.如果安全防护时间小于检测时间加响应时间,这该系统一定是不安全的D.如果一个系统的安全防护时间为 0,则系统的安全性取决于暴露时间18.下列有关密码学的说法中错误的是:A. 密码学是研究信息系统安全保密的科学。
由两个相互对立、相互斗争,而且又相辅相成、相互促进的分支科学所组成的,分别称为密码编码学和密码分析学。
B. 密码编码学是对密码体制、密码体制的输入输出关系进行分析,以便推出机密变量、包括明文在内的敏感数据。
C. 密码分析学主要研究加密消息的破译或消息的伪造。
D. 密码编码学主要研究对信息进行编码,实现对信息的隐蔽。
19.非对称密码算法具有很多优点,其中不包括:A. 可提供数字签名、零知识证明等额外服务B. 加密/解密速度快,不需占用较多资源C. 通信双方事先不需要通过保密信道交换密钥D. 密钥持有量大大减少20.下列哪一项准确描述了哈希算法、数字签名和对称密钥算法所提供的功能?A.身份鉴别和完整性,完整性,机密性和完整性B.完整性,身份鉴别和完整性,机密性和可用性C.完整性,身份鉴别和完整性,机密性D.完整性和机密性,完整性,机密性页码:421.下列哪一种密码算法是基于大数分解难题的?A. ECCB. RSAC. DESD. Diffie-Hellman22.一名攻击者试图通过暴力攻击来获取下列哪一项信息?A.加密密钥B.加密算法C.公钥D.密文23.下列哪一个是 PKI 体系中用以对证书进行访问的协议?A. SSL(加密)B. LDAPC. CAD. IKE24.下列哪一项信息不包含在 X.509 规定的数字证书中?A. 证书有效期B. 证书持有者的公钥C. 证书颁发机构的签名D. 证书颁发机构的私钥25.以下对于 IPsec 协议说法正确的是:A. 鉴别头(AH)协议,不能加密包的任何部分B. IPsec工作在应用层,并为应用层以下的网络通信提供 VPN功能C. IPsec关注与鉴别、加密和完整性保护,密钥管理不是 IPsec本身需要关注的D.在使用传输模式时,IPsec为每个包建立一个新的包头,而在隧道模式下使用原始包头26.下面安全套接字层协议(SSL)的说法错误的是?A. 它是一种基于 web应用的安全协议B. 由于 SSL是内嵌在浏览器中的,无需安全客户端软件,所以相对于 IPSec更简单易用页码:5C. SSL与 IPSec一样都工作在网络层D. SSL可以提供身份认证、加密和完整性校验的功能27.构成 IPSec 的主要安全协议不包括下列哪一项:A. ESPB. DSSC. IKED. AH28.指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:A. 你是什么B. 你有什么C. 你知道什么D. 你做了什么29.从分析方式上入侵检测技术可以分为:A、基于标志检测技术、基于状态检测技术B、基于异常检测技术、基于流量检测技术C、基于误用检测技术、基于异常检测技术D、基于标志检测技术、基于误用检测技术30.某种防火墙的缺点是没有办法从非常细微之处来分析数据包,但它的优点是非常快,这种防火墙是以下的哪一种?A. 电路级网关B. 应用级网关C. 会话层防火墙D. 包过滤防火墙31. 设备可以隔离 ARP 广播帧。
A.路由器B.网桥C.以太网交换机D.集线器页码:632.下列哪个协议可以防止局域网的数据链路层的桥接环路:A. HSRPB. STPC. VRRPD. OSPF33.下列哪一项不是 IDS 可以解决的问题?A. 弥补网络协议的弱点B. 识别和报告对数据文件的改动C. 统计分析系统中异常活动模式D. 提升系统监控能力34.从部署结构来看,下列哪一种类型的防火墙提供了最高安全性?A.屏蔽路由器B.双宿堡垒主机C.屏蔽主机防火墙D.屏蔽子网防火墙35.下面哪类设备常用于风险分析过程中,识别系统中存在的脆弱性?A. 防火墙B. IDSC. 漏洞扫描器D. UTM36.当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在该系统重新上线前管理员无需查看:A. 访问控制列表B. 系统服务配置情况C. 审计记录D. 用户帐户和权限的设置37.网络隔离技术的目标是确保把有害的攻击隔离,在保证可信网络内部信息部不外泄的前提下,完成网络间数据的安全交换。
下列隔离技术中,安全性最好的是。
A.多重安全网关B.防火墙页码:7C.VLAN 隔离D.物理隔离38.在 Windows XP 中用事件查看器查看日志文件,可看到的日志包括。
A.用户访问日志、安全性日志、系统日志和IE日志B.应用程序日志、安全性日志、系统日志和IE日志C.网络攻击日志、安全性日志、记帐日志和 IE日志D.网络连接日志、安全性日志、服务日志和 IE日志39.下列对 windows 服务的说法错误的是()A. 为了提升系统的安全性管理员应尽量关闭不需要的服务B. 可以作为独立的进程运行或以 DLL的形式依附在 Svchost.exeC. windows服务只有在用户成功登录系统后才能运行D. windows服务通常是以管理员的身份运行的40.在 window 系统中用于显示本机各网络端口详细情况的命令是:A. netshowB. netstatC. ipconfigD. netview41.在 Unix/Linux 系统中,口令是以加密的方式存储的,会出现在哪个文件中?A、/etc/passwdB、/etc/shadowC、/etc/default/passwdD、/etc/default/shadow42. Windows NT 中的组策略适用于:A.S:站点B.D:域C.OU:组织单位D.S,D,OU。