2019年CISSP模拟试卷

CISSP认证考试（通信安全与网络安全）模拟试卷1(题后含答案及解析)题型有：1.1．Layer 2 of the OSI model has two sublayers. What are those sublayers, and what are two IEEE standards that describe technologies at that layer?A．LCL and MAC; IEEE 802.2 and 802.3B．LCL and MAC; IEEE 802.1 and 802.3C．Network and MAC; IEEE 802.1 and 802.3D．LLC and MAC; IEEE 802.2 and 802.3正确答案：D解析：D正确。

OSI模型的数据链路层(Data Link Layer)(即第2层)负责为数据包添加头和尾，为数据包可以转换为适合于局域网和广域网线路传输的二进制格式做准备。

第2层可以分为两个功能子层，上子层是逻辑链路控制(Logical Link Control，LLC)子层，并在IEEE 802．2规范中定义，它与数据链路层之上的网络层(NetworkLayer)通信。

LLC下面是介质访问控制层(Media Access Control，MAC)，它按物理层协议的要求描述了网络接口。

因此，这一层的规格取决于物理层的技术。

以太网的IEEE MAC格式是802．3，令牌环是802．5，无线LAN 是802．11，等等。

所以，当你看到对IEEE标准的引用时，如802．11或802．16，它指的是在协议堆栈中数据链路层中的MAC子层工作的协议。

A不正确。

因为LCL是一个干扰项。

数据链路层上的子层的名称首字母大写缩写形式是LLC，它代表逻辑链路控制。

通过提供多路复用和流量控制机制，LLC允许网络协议在多点网络中并存，并通过同一网络介质进行传输。

CISSP认证冲刺模拟试卷1. 下列哪一项不属于Fuzz 测试的特性A.主要针对软件漏洞或可靠性错误进行测试B.采用大量测试用例进行漏洞-相应测试C.一种试探性测试方法，没有任何理论依据D.利用构造畸形的输入数据引发被测试目标产生异常2.通过对称密码算法进行安全消息传输的必要条件是：A．在安全的传输信道上进行通信B．通讯双方通过某种方式，安全且秘密地共享密钥C．通讯双方使用不公开的加密算法D．通讯双方将传输的信息夹杂在无用信息中传输并提取3. 你来到服务器机房隔壁一间办公室，发现窗户坏了。

由于这不是你的办公室，你要求在这里办公的员工请维修工来把窗户修好。

你离开后，没有再过问这窗户的事情。

这件事的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响？A.如果窗户被修好，威胁真正的出现的可能性会增加B.如果窗户被修好，威胁真正的出现的可能性会保持不变C.如果窗户没被修好，威胁真正的出现的可能性会下降D.如果窗户没被修好，威胁真正的出现的可能性会增加4.AES 在抵抗差分密码分析及线性密码分析的能力比DES 更有效，已经替代DES 成为新的数据加密标准。

其算法的信息块长度和加密密钥是可变的，以下哪一种不是其可能的密钥长度？A．64bitB．128bitC．192bitD．256bit5.Alice 有一个消息M 通过密钥K2 生成一个密文E（K2，M）然后用K1 生成一个MAC 为C（K1，E（K2，M）），Alice 将密文和MAC 发送给Bob，Bob 用密钥K1 和密文生成一个MAC并和Alice 的MAC 比较，假如相同再用K2 解密Alice 发送的密文，这个过程可以提供什么安全服务？A．仅提供数字签名B．仅提供保密性C．仅提供不可否认性D．保密性和消息完整性6. 某单位想用防火墙对telnet 协议的命令进行限制，应选在什么类型的防火墙？A.包过滤技术B.应用代理技术C.状态检测技术D.NAT 技术7.时间戳的引入主要是为了防止：A．死锁B．丢失C．重放D．拥塞8.以下对于安全套接层（SSL）的说法正确的是：A．主要是使用对称密钥体制和X509 数字证书技术保护信息传输的机密性和完整性B．可以在网络层建立VPNC．主要适用于点对点之间的信息传输，常用WebServer 方式D．包含三个主要协议：AH、ESP、IKE9.下面哪一个情景属于身份鉴别（Authentication）过程？A．用户依照系统提示输入用户名和口令B．用户在网络上共享了自己编写的一份Office 文档，并设定哪些用户可以阅读，哪些用户可以修改C．用户使用加密软件对自己编写的Office 文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容D．某个人尝试登陆到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登陆过程纪录在系统日志中10.下列对Kerberos 协议特点描述不正确的是：A．协议采用单点登录技术，无法实现分布式网络环境下的认证B．协议与授权机制相结合，支持双向的身份认证C．只要用户拿到了TGT 并且该TGT 没有过期，就可以使用该TGT 通过TGS 完成到任一个服务器的认证而不必重新输入密码D．AS 和TGS 是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS 和TGS 的性能和安全11.TACACS+协议提供了下列哪一种访问控制机制？A．强制访问控制B．自主访问控制C．分布式访问控制D．集中式访问控制12,令牌（Tokens），智能卡及生物检测设备同时用于识别和鉴别，依据的是以下哪个原则？A．多因素鉴别原则B．双因素鉴别原则C．强制性鉴别原则D．自主性鉴别原则13.下列对密网功能描述不正确的是：A．可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击B．吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来C．可以进行攻击检测和实时报警D．可以对攻击活动进行监视、检测和分析14.安全审计是对系统活动和记录的独立检查和验证，以下哪一项不是审计系统的作用：A．辅助辨识和分析未经授权的活动或攻击B．对与已建立的安全策略的一致性进行核查C．及时阻断违反安全策略的访问D．帮助发现需要改进的安全控制措施15.UDP 需要使用_______地址，来给相应的应用程序发送用户数据报。

1．美国的关键信息基础设施(critical Information Infrastructure，CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括：A．这些行业都关系到国计民生，对经济运行和国家安全影响深远B．这些行业都是信息化应用广泛的领域C.这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出D．这些行业发生信息安全事件，会造成广泛而严重的损失2．关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：A．2001-2002 年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构B．2003-2005 年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27 号文件)并颁布了国家信息安全战略C．2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成功&D．2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈出了坚实步伐3．依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是：A、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的4．以下哪一项是数据完整性得到保护的例子?A．某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B．在提款过程中ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作&C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看5.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。

CISSP认证考试模拟试卷3(题后含答案及解析) 题型有：1.1．L2TP 是为了通过什么协议实现？A．PPPB．PCP正确答案：A2．对硬盘记忆取证之前，要考虑？A．是否有更多证据需要收集，扩展收集范围B．拆下硬盘，以及所有可以启动的组件C．进行HASH 散列映像正确答案：C3．任命安全隐私管CPO，第一步是：A．法律法规，合规性B．收集信息正确答案：B解析：收集信息包括识别法律法规4．杀毒软件匹配内部已知规则，问是哪种？A．基于签名B．行为正确答案：A5．使用是在CMMI 的第二个阶段？A．不可预测B．可重复C．可定义D．可管理正确答案：B6．CC 对一个产品实施认证是为了证明这个产品对组织的作用：A．TOEB．STC．组织策略安全．正确答案：B7．如何证明参加了DRP 培训：A．通过参加一次真正的DRP 来验证．B．参与者明确了在DRP 中角色和与他人互动的流程正确答案：B8．说要变更数据中心方案，最重要的是什么A．DRP 放在项目的最后去考虑B．只有一个出入口C．可适应性正确答案：C9．学生在家访问大学的资源，要怎么实施最易于部署/省钱A．VPN+IPSECB．家用VPN 路由正确答案：A10．问了一个同步令牌和异步令牌A．同步令牌根据时间B．异步令牌基于挑战值正确答案：A11．问选安全顾问，哪个在伦理上有问题A．一个有经验的顾问不选，选了个没经验的B．选用户推荐的顾问C．跟你私下有关系的，但是不合资质的顾问正确答案：C12．认证到认可是什么过程A．什么系统策略实施的过程B．管理层对确认风险正确答案：B13．情境题，一个公司规定“专利未发布前，知道此信息的员工不能买股票，除非已对公众公布”，次日，该公司在报纸上发布该消息，问员工能不能买股票A．可以买，得到管理层同意B．可以买，因为已经公布C．不可以买，管理层不同意D．不可以买，未公布公众正确答案：B14．CA 信息层次包含那个A．网络交叉协议B．X.509C．PKID．X.500正确答案：B15．关于网络层走什么数据的题A．端口筛选B．数据包筛选C．应用程序筛选正确答案：B16．RAID5 的最小化原理之类的，A．在其中一个驱动器插拉奇偶B．在所有驱动器插入奇偶正确答案：B17．消息加密，部分数据为已知常量，问可以使用什么攻击方式？A．已知明文攻击B．已知密码攻击C．密文攻击正确答案：A18．A和B互相交换公钥，B如何验证A？A．使用A 的公钥验证B．使用私钥去验证正确答案：B19．异步与同步密码之间的主要主别：A．异同采用的是计数B．同步采用的是同一天时间间隔，异步任何时间都可以C．同步采用的是60 分钟内的有效D．异步是基本挑战式的方式，同步是计时方式正确答案：D20．如果公司要在24 小时里恢复业务，应选择哪个灾备场所？A．热站点B．温站点C．冷站点正确答案：A21．互惠协议的特点？A．便于类似的组织进行灾备B．对于较复杂的系统容易进行测试C．对于较复杂的系统很难进行测试正确答案：A22．PADDING 技术使用在哪种密码上？A．块密码B．流密码正确答案：A23．应用开发架构项目团队在进行安全审查前首先要关注什么？A．了解行业内的标准B．了解政府目前发布的和即将发布的政策正确答案：A24．以下哪个会引起最严重的道德问题？A．一个CISSP 背书另一个CISSPB．一个CISSP 资助别人获得其他证书C．一个CISSP 讲师背书自己的学生D．一个CISSP 经理资助自己公司下属正确答案：C25．国际间通讯存的问题是什么？A．一个国家的加密技术在另一个国家可能无法解密B．法律规定国际通讯不能使用加密技术正确答案：A26．当在渗透测试期间发现了服务器可以使用任何账户进行特权操作，应该第一时间？A．记录问题报告管理层B．报告系统管理员正确答案：A27．在安全审计时发现服务器管理员没有经过培训，应该？A．审查所有培训文档B．审查人事招聘流程C．找有经验的管理员对服务器进行安全审查正确答案：C28．可重复使用是在CMMI 的哪个阶段？A．不可预测B．可重复正确答案：B。

CISP专业考试真题（第三套）1、从历演进来看，信息安全的的发展经历了多个阶段，其中有一个阶段的特点是，网络信息系统的逐步形成，信息安全注重保护信息是在存储、处理和传输过程中免授非授权访问，开始使用防火墙，防病毒、Pki和vpn等安全产品，这个阶段是（）A、通信安全阶段搭线窃听，密码学分析B、计算机安全阶段：非授权访问，恶意代码，弱口令C、信息系统安全阶段：网络入侵D、信息安全保障阶段黑客，恐怖分子C硬背2、随着信息技术的不断发展，信息系统的重要性也越来越突出，与此同时，发生的信息安全事件越来越多，综合分析，信息安全问题产生的根源，下面描述下正确的是A、信息系统自身存在脆弱性是根本原因。

信息系统越来越重要，同时自身开发，部署和使用过程中存在的脆弱性，导致了诸多安全事件发生，因此，杜绝脆弱性的存在是解决信息安全问题的根本所在B、信息系统面临诸多黑客的威胁，包括恶意攻击者和恶作剧攻击者，信息系统的应用越来越广，接触信息系统的人越多信息系统越可能遭受攻击，因此，避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题C、信息安全问题产生的根源要从内因和外内两个方面分析，因为信息系统自身有脆弱性，同是外部又有威胁，从而导致信息系统可能发生安全事件。

因此要防范信息安全风险，应该从内外因同是着手D、信息安全问题的根本原因是内因、外因、人三个因素的综合作用，内因和外因都可能导致安全事件的发生，但最重要的还是人的因素，外部攻击者和内部人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生，因此对人这个因素的防范是安全工作的重点。

C硬背3、某学员在学习国家标准《信息系统安全保障评估框架第一部分，简单和一般模型》（GB20274.1-2006）后绘制了—张简化的信息系统安全保障模型图，请为空白处选择合适选项A、安全保障（方针和组织）B、安全防御（技术和管理）C、深度防御（策略、防御、检测、响应）D、保障要素（技术、管理、工程、人员）D硬背4、目前信息系统面临外部攻击者的恶意攻击威胁，从威胁能力和掌握资源分，这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分，下列哪个属于组织威胁的是（）A、为恶意作剧，实现自我挑战的娱乐型黑客B、实施犯罪、获取非法经济利益的网络犯罪集团C、搜集政治、军事、经济等情报机构D、巩固战略优势、执行军事任务。

CISSP认证考试（密码学）模拟试卷1(题后含答案及解析)题型有：1.1．There are several components involved with steganography. Which of the following refers to a file that has hidden information in it?A．Stego-mediumB．Concealment cipherC．CarrierD．Payload正确答案：C解析：C正确。

隐写术(steganography)是把数据藏于另外一类媒介中，从而达到隐藏该数据的真实存在的方法。

应该只有发送者和接收者才能够看见这个消息，因为这个消息被秘密地藏于图形、波形文件、文档和其他类型的媒介中。

这个消息并不一定要求被加密，而只是被隐藏起来。

加密后的消息会引起坏人的注意，因为它向坏人昭示着“这是敏感信息”。

而隐藏于一幅图画中的消息却不会引起这样的注意，即使嵌入这张图片的是完全相同的密信。

隐写术是一种利用隐匿的安全类型。

它所包含的组成部分有载体(carrier)、隐秘媒介(stego-medium)和有效载荷(payload)。

载体是指隐藏信息的信号、数据流或者文件。

换句话说，载体负载着有效载荷。

A不正确。

因为隐秘媒介是隐写术用以隐藏信息的媒介。

如果这个消息藏于一个图形中，那么隐秘媒介便可能是JPEG或者TIFF格式的文件。

如果这个消息被嵌入到一个Word文档中，那么隐秘媒介便是Word文档。

隐秘媒介可以是图形、波形文件、文档或其他类型的媒介。

B不正确。

因为隐藏密码是在信息中放置信息，它是隐写术方法的一种。

隐藏密码是一种把密码信息隐藏于我们周围所熟悉的事物中的方法。

这个答案并没有说明隐写术的特定组成部分，只是说出了隐写术的一个具体类型。

D不正确。

因为载荷是指通过隐写术进行隐藏和传输的信息。

载荷是发送者希望保密的实际信息。

知识模块：密码学2．Which of the following correctly describes the relationship between SSL and TLS?A．TLS is the open-community version of SSL.B．SSL can be modified by developers to expand the protocol’s capabilities.C．TLS is a proprietary protocol, while SSL is an open-community protocol.D．SSL is more extensible and backward compatible with TLS.正确答案：A解析：A正确。

2019CSP第一轮认证模拟题选手注意：●请在答题纸上作答，写在试题纸上一律无效。

●不得使用任何电子设备（如计算器、手机、电子词典等）或查阅任何书籍资料●今年第一轮认证考试题型：单选题30分，程序阅读（对错题+单选题共40分），程序完成题（单选题，30分）一、单项选择题（共20题，每题1.5分，共计30分；每题且仅有一个正确选项）1．计算机如果缺少（），将无法正常启动。

A．内存B．鼠标C．U盘D．摄像头2．一片容量为8GB 的SD 卡能存储大约（）张大小为2MB 的数码照片。

A．1600 B．2000 C．4000 D．160003.有人认为，在个人电脑送修前，将文件放入回收站中就是已经将其删除了。

这种想法是（）。

A．正确的，将文件放入回收站意味着彻底删除、无法恢复B．不正确的，只有将回收站清空后，才意味着彻底删除、无法恢复C．不正确的，即使将回收站清空，文件只是被标记为删除，仍可能通过恢复软件找回D．不正确的，只要在硬盘上出现过的文件，永远不可能被彻底删除4．主存储器的存取速度比中央处理器（CPU）的工作速度慢得多，从而使得后者的效率受到影响。

而根据局部性原理，CPU所访问的存储单元通常都趋于聚集在一个较小的连续区域中。

于是，为了提高系统整体的执行效率，在CPU中引入了（）。

A.寄存器B.高速缓存C.闪存D.外存5．十进制数0.5与八进制数( )值相等。

A．0.8 B．0.5 C．0.1 D．0.46．计算机用户可以根据需要安装软件，那么计算机的软件系统一般分为（）A．系统软件和应用软件B．管理软件和控制软件C．军用软件和民用软件D．高级软件和一般软件7．关于互联网，下面的说法哪一个是正确的( )。

A．新一代互联网使用的IPv6标准是IPv5标准的升级与补充。

B．互联网的入网主机如果有了域名就不再需要IP地址。

C．互联网的基础协议为TCP/IP协议。

D．互联网上所有可下载的软件及数据资源都是可以合法免费使用的8．关于程序设计语言，下面哪个说法是正确的：B．高级语言开发的程序不能使用在低层次的硬件系统（如：自控机床）或低端手机上。

2019微软认证考试精选模拟题及答案（1.17）A.软驱属于主机，软磁盘本身属于外部设备B.硬盘和显示器都是计算机的外部设备C.键盘和鼠标器均为输入设备D.“裸机”是指不含任何软件系统的计算机【准确答案：】BCD2.现在计算机正朝两极方向发展，这两极是______.A.专用机;B.微型机;C.巨型机;D.通用机【准确答案：】BC3.关于磁盘下面说法________是准确的。

A.软磁盘携带方便，新盘使用前必须实行格式化B.3.5英寸软盘的写保护块遮住方孔时，只能读、不能写C.硬磁盘不要轻易格式化，每次格式化之前，必须先实行分区D.硬磁盘的盘片与驱动器密封为一个整体，不易损坏，寿命长【准确答案：】AD4.______是计算机系统软件的两个重要特点。

A.通用性;B.可卸载性;C.可扩充性;D.基础性【准确答案：】AD5.关于计算机系统组成的知识，准确的说法是________.A.软盘驱动器属于主机，软盘属于外设B.键盘和显示器都是计算机的I/O设备C.键盘和鼠标均为输入设备D.软盘存储器由软盘、软盘驱动器和软盘驱动卡三部分组成【准确答案：】BCD6.下列软件中具有通用性的是______.A.语言处理系统B.操作系统C.用户程序D.信息管理系统【准确答案：】AB7.以下语言中属于高级语言的是________.A.DelphiB.机器语言C.汇编语言D.C++【准确答案：】AD8.以下属于文字处理软件的有________.A.WordB.WPSC.ExcelD.PowerPoint【准确答案：】AB9.关于计算机语言的描述，不准确的是______.A.;机器语言的语句全部由0和1组成，指令代码短，执行速度快B.;机器语言因为是面向机器的低级语言，所以执行速度慢C.;汇编语言已将机器语言符号化，所以它与机器无关D.;汇编语言比机器语言执行速度快【准确答案：】BCD10.微型机的闪存与硬盘相比较，硬盘的特点是________.A.存储容量大B.便于携带C.价格高D.外形美观【准确答案：】AC。