CISP官方信息安全技术章节练习一
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 所有以上选项答案:D2. 在信息安全领域中,以下哪项不属于常见的安全威胁类型?()。
A. 恶意软件B. 自然灾害C. 未经授权访问D. 拒绝服务攻击答案:B3. 风险评估的目的是()。
A. 评估组织的财务状况B. 确定信息资产的价值C. 识别和评估潜在的安全风险D. 增加市场份额答案:C4. 以下哪项是信息安全管理的最佳实践?()。
A. 仅依赖技术解决方案B. 忽略员工的安全意识培训C. 定期进行安全审计和评估D. 仅在发生安全事件后才采取行动答案:C5. CISP认证考试中,关于数据保密性的正确理解是()。
A. 确保数据只能被授权用户访问B. 确保数据的完整性C. 确保数据的可用性D. 确保数据的不可否认性答案:A二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持有者在信息安全领域具有专业知识和技能。
答案:国际信息系统安全认证联盟(ISC)²2. 在信息安全中,________是一种通过隐藏信息内容来保护数据不被未授权者理解的方法。
答案:加密3. 为了防止网络攻击,组织应该实施________策略,以确保所有用户和设备都符合安全标准。
答案:安全访问控制4. 信息安全事件响应计划的主要目的是________,减少安全事件对组织的影响。
答案:快速识别和响应安全事件5. 社会工程攻击利用的是人的________,通过欺骗手段获取敏感信息或访问权限。
答案:心理弱点三、简答题1. 描述信息安全管理的三个关键组成部分。
答:信息安全管理的三个关键组成部分包括策略制定,即制定明确的安全目标和规则;实施控制措施,包括技术和程序控制以降低风险;以及持续监控和审计,确保安全措施的有效性并进行必要的调整。
2. 解释什么是渗透测试以及它在信息安全中的作用。
CISP练习题(1)
1、如果接收机和发送机不在一个局域网,则数据要经过下面哪一个设备进行一次或多次转发()A、路由器B、交换机C、集线器D、防火墙答案:A2、信息系统安全主要从几个方面进行评估?A、1个(技术)B、2个(技术、管理)C、3个(技术、管理、工程)D、4个(技术、管理、工程、应用)答案:C3、对称密码算法与非对称密码算法相比,具有的特点是()A、加密密钥与解密秘钥不同B、加密速度快C、密钥管理简单D、可以用于数字签名答案:B4、在应急响应的六阶段方法的遏制阶段,若遇到异常,用户所做的工作应遵循的行为规范是()A、应尽快关闭系统或断开网络B、应修改系统或应用软件达到抑制目的C、监控并记录可以的现象,直到处理该类安全事件的人员到达D、按照应急响应策略向系统所有者报告任何可疑的现象答案:C5、对信息安全保障的理解不正确的是()A、信息安全保障应综合技术、管理和人B、购买性能良好的信息安全产品、培训高素质的信息安全技术人员就能保障信息系统的安全C、社会各方的积极参与是信息安全保障所必需的D、应该在信息系统生命周期的全过程都进行信息安全保障答案:B6、关于信息系统安全保障工程实施通用模型的说法,不正确的是()A、系统生命周期包括5个阶段B、系统生命周期立项阶段的退出准则为信息系统的整体规划完成C、信息系统安全保障工程实施框架描述了信息系统安全工程应用于系统生命周期的具体工程实践流程D、信息系统安全工程由六个过程组成答案:B7、常见的网络信息系统不安全因素包括()A、网络因素B、应用因素C、管理因素D、以上皆是答案:D8、SSL提供哪些协议上的数据安全:A、HTTP,FTP和TCP/IPB、SKIP,SNMP和IPC、UDP,VPN和SONETD、PPTP,DMI和RC4答案:A9、以下哪一项是伪装成有用程序的恶意软件?A、计算机病毒B、特洛伊木马C、逻辑炸弹D、蠕虫程序答案:B10、操作应用系统由于错误发生故障下列哪个控制是最没有用的?A、错误统计B、日志C、检查点控制D、回复记录答案:A11、在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性以下哪一层提供了抗抵赖性?A、表示层B、应用层C、传输层D、数据链路层答案:B12、Intranet没有使用以下哪一项?A、Java编程语言B、TCP/IP协议C、公众网络D、电子邮件答案:C13、下列关于计算机病毒说法错误的是()A、有些病毒仅能攻击某一种操作系统,如winD.owsB、病毒一般附着在其他应用程序之后C、每种病毒都会给用户造成严重后果D、有些病毒能损坏计算机硬件答案:C14、关于系统安全工程能力成熟模型(SSE-CMM)的说法,不正确的是()A、对安全服务提供商来说,SSE-CMM中包含的很多安全过程实施元素有助于理解客户的安全需求B、SSE-CMM覆盖整个工程的生命周期、整个组织机构、并与其它规范并行的相互作用,以及其它机构发生相互作用C、SSE-CMM将安全工程划分三个基本的过程:风险、工程、保证D、SSE-CMM主要用于指导系统安全工程的完善和改进,使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的、可度量的学科答案:A15、计算机病毒会对下列计算机服务造成威胁,除了:A、完整性B、有效性C、保密性D、可用性答案:C16、“可信计算基(TCB)”不包括:A、执行安全策略的所有硬件B、执行安全策略的软件C、执行安全策略的程序组件D、执行安全策略的人答案:D17、下面哪种方法产生的密码是最难记忆的?A、将用户的生日倒转或是重排B、将用户的年薪倒转或是重排C、将用户配偶的名字倒转或是重排D、用户随机给出的字母答案:D18、以下哪一项计算机安全程序的组成部分是其他组成部分的基础?A、制度和措施B、漏洞分析C、意外事故处理计划D、采购计划答案:A19、关于信息安全风险评估工作的一些说法,不正确的是()A、按“严密组织、规范操作、讲究科学、注重实效”的原则展开B、应按照“谁主管谁负责。
CISP考试(习题卷1)
CISP考试(习题卷1)第1部分:单项选择题,共94题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]制定应急响应策略主要需要考虑A)系统恢复能力等级划分B)系统恢复资源的要求C)费用考虑D)人员考虑答案:D解析:2.[单选题]信息安全风险评估师信息安全风险管理工作中的重要环节。
在《关于开展信息安全 风险评估工作的意见》(国信办[2006]5 号)中,指出了风险评估分为自评估和检 查评估两种形式,并对两种工作形式提出了有关工作原则和要求。
下面选项中描述 错误的是?A)自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行 的风险评估B)检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的 风险评估C)信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补 充D)自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个, 并坚持使用答案:D解析:3.[单选题]区别脆弱性评估和渗透测试是脆弱性评估A)检查基础设施并探测脆弱性,然而穿透性测试目的在于通过脆弱性检测其可能带来的损失B)和渗透测试为不同的名称但是同一活动C)是通过自动化工具执行,而渗透测试是一种完全的手动过程D)是通过商业工具执行,而渗透测试是执行公共进程答案:A解析:4.[单选题]某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址,但是该网 络内有 15 台个人计算机,这些个人计算机不会同时开机并连接互联网。
为解决公司员 工的上网问题,公司决定将这 10 个互联网地址集中起来使用,当任意一台个人计算机 开机并连接网络时,管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给 这个人的计算机。
他关机时,管理中心将该地为收回,并重新设置为未分配。
可见,只 要同时打开的个人计算机数量少于或等于可供分配的 IP 地址,那么,每台个人计算机 可以获取一个 IP 地址,并实现与互联网的连接。
CISP官方信息安全技术章节练习一
CISP信息安全技术章节练习一一、单选题。
(共100题,共100分,每题1分)1. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘c、操作系统上部署防病毒软件,以对抗病毒的威胁d、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能最佳答案是:b2. 对于抽样而言,以下哪项是正确的?a、抽样一般运用于与不成文或无形的控制相关联的总体b、如果内部控制健全,置信系统可以取的较低c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样d、变量抽样是估计给定控制或相关控制集合发生率的技术最佳答案是:b3. 以下关于账户策略中密码策略中各项作用说明,哪个是错误的:a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令b、“密码长度最小值”是强制用户使用一定长度以上的密码c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换最佳答案是:c4.如图所示,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。
该图所表示的访问控制实现方法是:a、访问控制表(ACL)b、访问控制矩阵c、能力表(CL)d、前缀表(Profiles)最佳答案是:c5. 关于数据库恢复技术,下列说法不正确的是:a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行修复b、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用的基本技术c、日志文件在数据库恢复中起着非常重要的作用,可以用来进行事务故障恢复和系统故障恢复,并协助后备副本进行介质故障恢复d、计算机系统发生故障导致数据未储存到固定存储器上,利用日志文件中故障发生的数据值,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为提交最佳答案是:d6. 以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的:a、存储在注册中的账号数据是管理员组用户都可以访问,具有较高的安全性b、存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性c、存续在册表中的账号数据任何用户都可以直接访问,灵活方便d、存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性最佳答案是:d7. 以下关于安全套接层(Security Sockets Layer,SSL)说法错误的是:a、受到SSL防护的web服务器比没有SSL的web服务器要安全b、当浏览器上的统一资源定位符(Uniform Resource Locator,URL)出现https时,说明用户正使用配置了SSL协议的Web服务器c、SSL可以看到浏览器与服务器之间的安全通道d、SSL提供了一种可靠地端到端的安全服务最佳答案是:a8. 以下哪一项不是常见威胁对应的消减措施:a、假冒攻击可以采用身份认证机制来防范b、为了防止传输的信息被篡改,收发双方可以使用单向Hash函数来验证数据的完整性c、为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖d、为了防止用户提升权限,可以采用访问控制表的方式来管理权限最佳答案是:c9. 某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时如果用户名或口令输入错误,给用户返回“用户名或口令输入错误”信息,输入错误达到三次,将暂时禁止登录该账户,请问以上安全设计遵循的是哪项安全设计原则:a、最少共享机制原则b、经济机制原则c、不信任原则d、默认故障处理保护原则最佳答案是:c10. 某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施:a、在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping)b、删除服务器上的ping.exe程序c、增加带宽以应对可能的拒绝服务攻击d、增加网站服务器以应对即将来临的拒绝服务攻击最佳答案是:a11. 由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置账户锁定策略以对抗口令暴力破解。
CISP试题及答案
CISP试题及答案预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】 B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】 C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP模拟练习题350道(带答案)
CISP模拟练习题350道(带答案)- - 1 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------中国信息安全测评中心CISP认证模拟试题中电运行信息安全网络技术测评中心编辑- - 2 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------1.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?A.提高信息技术产品的国产化率B.保证信息安全资金投入C.加快信息安全人才培养D.重视信息安全应急处理工作2.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?A.强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程B.强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标C.以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心D.通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征3.以下关于信息系统安全保障是主观和客观的结合说法最准确的是:A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全B.通过技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C.是一种通过客观证据向信息系统评估者提供主观信心的活动D.是主观和客观综合评估的结果4.与PDR模型相比,P2DR模型多了哪一个环节?A.防护B.检测C.反应D.策略5.在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于_______。
CISP信息安全管理习题0001
1•根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。
模拟该流程。
文档《风险分析报告》应属于哪个阶段的输出成果()。
A风险评估B风险处理C批准监督D监控审查2.<p>某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估&dquo;准备”阶段输出的文档。
</p>A《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容B《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容C《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容D《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容3•规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,vspan style="line-height: 20.8px;"> 按照规范v/span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()A《风险评估方案》B《重要保护的资产清单》C《风险计算报告》D《风险程度等级列表》4.定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF )是x,年度发生率(Annualixed Rato ofOccurrence,ARO )为0.1,而小王计算的年度预期损失(Annualixed Loss Rrpectancy,ALE )值为5万元人民币。
由此x值应该是 ()5.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是() A定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量B定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析C定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关D定性风险分析更具有主观性,而定量风险分析更具客观性6•某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP 服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式()A风险降低B风险规避C风险转移D风险接受7.残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是()A残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险B残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件C实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果D信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标9•某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?A:部门经理B:高级管理层C:信息资产所有者D:最终用户10.以下对信息安全风险管理理解最准确的说法是:A: 了解风险B:转移风险C: 了解风险并控制风险D: 了解风险并转移风险11.在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C:完整性、可用性、机密性、不可抵赖性D:以上都不正确12.以下哪一项不是信息安全风险分析过程中所要完成的工作:A:识别用户B:识别脆弱性C:评估资产价值D:计算机安全事件发生的可能性13.王工是某单位系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2 ;其中资产A1面临两个主要威胁:威胁T1和威胁T2;而资产A2面临一个主要威胁:威胁T3;威胁T1 可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2 :威胁T2可以利用资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3 可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7.根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值()B 3C 5D 614.A:内部计算机处理B:系统输入输出C:通讯和网络D:外部计算机处理15•《信息安全技术信息安全风险评估规范GB /T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:A:规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。
CISP必须练习题(G)100题_V19.1版(带答案、小五字体)
注册信息安全专业人员考试模拟测试题(G)标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性:A.结构的开放性B.表达方式的通用性C.独立性D.实用性答案:C2.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[2009]812号),关于推动信息安全等级保护()建设和开展()工作的通知(公信安[2010]303号)等文件,由公安部()对等级保护测评机构管理,接受测评机构的申请、考核和定期(),对不具备能力的测评机构则()A.等级测评;测评体系;等级保护评估中心;能力验证;取消授权B.测评体系;等级保护评估中心;等级测评;能力验证;取消授权C.测评体系;等级测评;等级保护评估中心;能力验证;取消授权D.测评体系;等级保护评估中心;能力验证;等级测评;取消授权答案:C3.以下哪个现象较好的印证了信息安全特征中的动态性()A.经过数十年的发展,互联网上已经接入了数亿台各种电子设备B刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险C某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击D.某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍然产生了泄露答案:B4.老王是某政府信息中心主任。
以下哪项项目是符合《保守国家移密法》要求的()A.老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维修中心修理B.老王要求下属小张把中心所有计算机贴上密级标志C.老王每天晚上12点将涉密计算机连接上互联网更新杀毒软件病毒库D.老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用答案:D5.关于计算机取征描述不正确的是()A.计算机取证是使用先进的技术和工具,按照标准规程全面的检查计算机系统以提取和保护有关计算机犯罪的相关证据的活动B.取证的目的包括通过证据,查找肇事者,通过证据推断犯罪过程,通过证据判断受害者损失程度及涉及证据提供法律支持C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品,对于电子证据取证工作主要围绕两方面进行证据的获取和证据的保护D.计算机取证的过程,可以分为准备,保护,提取,分析和提交五个步骤答案:C解释:CISP4.1版本(2018.10)教材的第156页。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISP信息安全技术章节练习一一、单选题。
(共100题,共100分,每题1分)1. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘c、操作系统上部署防病毒软件,以对抗病毒的威胁d、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能最佳答案是:b2. 对于抽样而言,以下哪项是正确的?a、抽样一般运用于与不成文或无形的控制相关联的总体b、如果内部控制健全,置信系统可以取的较低c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样d、变量抽样是估计给定控制或相关控制集合发生率的技术最佳答案是:b3. 以下关于账户策略中密码策略中各项作用说明,哪个是错误的:a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令b、“密码长度最小值”是强制用户使用一定长度以上的密码c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换最佳答案是:c4.如图所示,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。
该图所表示的访问控制实现方法是:a、访问控制表(ACL)b、访问控制矩阵c、能力表(CL)d、前缀表(Profiles)最佳答案是:c5. 关于数据库恢复技术,下列说法不正确的是:a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行修复b、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用的基本技术c、日志文件在数据库恢复中起着非常重要的作用,可以用来进行事务故障恢复和系统故障恢复,并协助后备副本进行介质故障恢复d、计算机系统发生故障导致数据未储存到固定存储器上,利用日志文件中故障发生的数据值,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为提交最佳答案是:d6. 以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的:a、存储在注册中的账号数据是管理员组用户都可以访问,具有较高的安全性b、存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性c、存续在册表中的账号数据任何用户都可以直接访问,灵活方便d、存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性最佳答案是:d7. 以下关于安全套接层(Security Sockets Layer,SSL)说法错误的是:a、受到SSL防护的web服务器比没有SSL的web服务器要安全b、当浏览器上的统一资源定位符(Uniform Resource Locator,URL)出现https时,说明用户正使用配置了SSL协议的Web服务器c、SSL可以看到浏览器与服务器之间的安全通道d、SSL提供了一种可靠地端到端的安全服务最佳答案是:a8. 以下哪一项不是常见威胁对应的消减措施:a、假冒攻击可以采用身份认证机制来防范b、为了防止传输的信息被篡改,收发双方可以使用单向Hash函数来验证数据的完整性c、为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖d、为了防止用户提升权限,可以采用访问控制表的方式来管理权限最佳答案是:c9. 某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时如果用户名或口令输入错误,给用户返回“用户名或口令输入错误”信息,输入错误达到三次,将暂时禁止登录该账户,请问以上安全设计遵循的是哪项安全设计原则:a、最少共享机制原则b、经济机制原则c、不信任原则d、默认故障处理保护原则最佳答案是:c10. 某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施:a、在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping)b、删除服务器上的ping.exe程序c、增加带宽以应对可能的拒绝服务攻击d、增加网站服务器以应对即将来临的拒绝服务攻击最佳答案是:a11. 由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置账户锁定策略以对抗口令暴力破解。
他设置了以下账户锁定策略如下:复位账户锁定计数器5分钟,账户锁定时间10分钟,账户锁定阀值3次无效登录,以下关于以上策略设置后的说法哪个是正确的:a、设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错了密码的用户就会被锁住b、如果正常用户不小心输错了3次密码,那么该用户就会被锁定10分钟,10分钟内即使输入正确的密码,也无法登录系统c、如果正常用户不小心连续输入错误密码3次,那么该用户账号就被锁定5分钟,5分钟内即使提交了正确的密码也无法登录系统d、攻击者在进行口令破解时,只要连续输错3次密码,该用户就被锁定10分钟,而正常用户登录不受影响最佳答案是:b12. 某单位系统管理员对组织内核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问,该访问控制策略属于以下哪一种:a、强制访问控制b、基于角色的访问控制c、自主访问控制d、基于任务的访问控制最佳答案是:c13. 关于源代码审核,描述错误的是()a、源代码审核有利于发现软件编码中存在的安全问题b、源代码审核工程遵循PDCA 模型c、源代码审核方式包括人工审核工具审核d、源代码审核工具包括商业工具和开源工具最佳答案是:b14. 由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()a、要求开发人员采用敏捷开发模型进行开发b、要求所有的开发人员参加软件安全意识培训c、要求规范软件编码,并制定公司的安全编码准则d、要求增加软件安全测试环节,尽早发现软件安全问题最佳答案是:a15. 关于软件安全的问题,下面描述错误的是()a、软件的安全问题可能造成软件运行不稳定,得不到正确结果甚至崩溃b、软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决c、软件的安全问题可能被攻击者利用后影响人身体健康安全d、软件的安全问题是由程序开发者遗留的,和软件的部署运行环境无关最佳答案是:c16. 以下可能存在sql注入攻击的部分是:a、get请求参数b、post请求参数c、cookie值d、以上均有可能最佳答案是:d17. 在2014年巴西世界杯举行期间,,一些黑客组织攻击了世界杯赞助商及政府网站,制造了大量网络流量,阻塞正常用户访问网站。
这种攻击类型属于下面什么攻击()a、跨站脚本(cross site scripting,XSS)攻击b、TCP 会话劫持(TCP HIJACK)攻击c、ip欺骗攻击d、拒绝服务(denialservice.dos)攻击最佳答案是:d18. 小陈在某电器城购买了一台冰箱,并留下了个人姓名、电话在和电子邮件地址等信,第二天他收到了一封来自电器城提示他中奖的邮件上,查看该后他按照提示操作,纳中奖税款后并没有得到中奖奖金,再打电话询问电器城才得知电器城并没有开的活动,根据上面的描述,由此可以推断的是()a、小陈在电器城登记个人信息时,应当使用加密手段b、小陈遭受了钓鱼攻击,钱被骗走了c、小陈的计算机中了木马,被远程控制d、小陈购买的凌波微步是智能凌波微步,能够自己上网最佳答案是:b19. 某公司在互联网区域新建了一个WEB网站,为了保护该网站主页安全性,尤其是不能让攻击者修改主页内容,该公司应当购买并部署下面哪个设备()a、负载均衡设备b、网页防篡改系统c、网络防病毒系统d、网络审计系统最佳答案是:b20. 某政府机构委托开发商开发了一个OA系统,其中有一个公文分发,公文通知等为WORD 文档,厂商在进行系统设计时使用了FTP来对公文进行分发,以下说法不正确的是a、FTP协议明文传输数据,包括用户名和密码,攻击者可能通过会话过程嗅探获得FTP密码,从而威胁OA系统b、FTP协议需要进行验证才能访问在,攻击者可以利用FTP进行口令的暴力破解c、FTP协议已经是不太使用的协议,可能与新版本的浏览器存在兼容性问题d、FTP应用需要安装服务器端软件,软件存在漏洞可能会影响到OA系统的安全最佳答案是:c21. 以下SQL语句建立的数据库对象是:CREATE VIEW PatientsForDoctors ASSWLWCT PatientFROM Patient*WHERE doctorlD=123a、表b、视图c、存储过程d、触发器最佳答案是:b22. 以下关于账户密码策略中各项策略的作用说明,哪个是错误的:a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234、1111这样的弱口令b、“密码长度最小值”是强制用户使用一定长度以上的密码c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码d、“密码最长存留期”是为了避免用户使用密码时间过长而不更改最佳答案是:c23. 口令破解是针对系统进行攻击的常用方法,Windows系统安全策略应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略,关于两个策略说明错误的是a、密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控b、密码策略对系统中所有的用户都有效c、账户锁定策略的主要作用是应对口令暴力破解攻击,能有效的保护所有系统用户应对口令暴力破解攻击d、账户锁定策略只适用于普通用户,无法保护管理员administrator账户应对口令暴力破解攻击最佳答案是:d24. IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱.a、对系统开发进行了复核b、对控制和系统的其他改进提出了建议c、对完成后的系统进行了独立评价d、积极参与了系统的设计和完成最佳答案是:d25. Linux/Unix关键的日志文件设置的权限应该为:a、-rw-r--r-b、-rw----c、-rw-rw-rw-d、-r----最佳答案是:d26. 关于Kerberos认证协议,以下说法错误的是:a、只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该TGT没有过期,就可以使用该TGT通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码b、认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全c、该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证d、该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂最佳答案是:c27. 以下关于安全套接层协议(Secure Sockets Layer,SSL)说法错误的是:a、SSL协议位于TCP/IP协议层和应用协议之间b、SSL协议广泛应用于web浏览器与服务器之间的身份认证和加密数据传输c、SSL是一种可靠的端到端的安全服务协议d、SSL是设计用来保护操作系统的最佳答案是:d28. 以下哪个选项不是防火墙技术?a、IP地址欺骗防护b、NATc、访问控制d、SQL注入攻击防护最佳答案是:d29. 某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是:a、所选择的特征(指纹)便于收集、测量和比较b、每个人所拥有的指纹都是独一无二的c、指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题d、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成最佳答案是:c30. 消息在发送前,用发送者的私钥加密消息内容和它的哈希(hash,或译作:杂选、摘要)值,能够保证:a、消息的真实性和完整性b、消息的真实性和保密性c、消息的完整性和保密性d、保密性和防抵赖性最佳答案是:a31. 为增强Web应用程序的安全性,某软件开发经理决定加强Web软件安全开发培训,下面哪项内容要在他的考虑范围内?a、关于网站身份签别技术方面安全知识的培训b、针对OpenSSL心脏出血漏洞方面安全知识的培训c、针对SQL注入漏洞的安全编程培训d、关于ARM系统漏洞挖掘方面安全知识的培训最佳答案是:c32. 下面哪项属于软件开发安全方面的问题?a、软件部署时所需选用服务性能不高,导致软件执行效率低b、应用软件来考虑多线程技术,在对用户服务时按序排队提供服务c、应用软件存在sol注入漏洞,若被黑客利用能窃取数据库所用数据d、软件受许可证(license)限制,不能在多台电脑上安装最佳答案是:c33. 某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法?a、模糊测试b、源代码测试c、渗透测试d、软件功能测试最佳答案是:c34. 微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项错误的是:a、某用户在登录系统并下载数据后,却声称“我没有下载过数据"软件R威胁b、某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于R威胁。