CISP试题及答案-三套题

1、1 .人们对信息平安的认识从信息技术平安开展到信息平安保障，主要是由于A.为了更好地完成组织机构的使命B.针对信息系统的攻击方式发生重大变化C.风险控制技术得到革命性的开展D.除了性，信息的完整性和可用性也引起人们的关注2 .信息平安保障的最终目标是：A.掌握系统的风险，制定正确的策略B.确保系统的性、完整性和可用性C.使系统的技术、管理、工程过程和人员等平安保障要素到达要求D.保障信息系统实现组织机构的使命3 .关于信息保障技术框架IATF，以下哪种说法是错误的？A. IATF强调深度防御Defense-in-Depth，关注本地计算环境、区域边界、网络和根底设施、支撑性根底设施等多个领域的

2、平安保障；B. IATF强调深度防御Defense-in-Depth，即对信息系统采用多层防护，实现组织的业务平安运作C. IATF强调从技术、管理和人等多个角度来保障信息系统的平安；D. IATF强调的是以平安检测、漏洞监测和自适应填充“平安间隙为循环来提高网络平安4 .依据国家标准GB/T20274?信息系统平安保障评估框架？，信息系统平安目标ISST是从信息系统平安保障的角度来描述的信息系统平安保障方案。A.建立者B.所有者C.评估者D.制定者5 .以下关于信息系统平安保障是主观和客观的结合说法错误的选项是：A.通过在技术、管理、工程和人员方面客观地评估平安保障措施，向信息系统的所有者提

3、供其现有平安保障工作是否满足其平安保障目标的信心。B.信息系统平安保障不仅涉及平安技术，还应综合考虑平安管理、平安工程和人员平安等，以全面保障信息系统平安C.是一种通过客观证据向信息系统所有者提供主观信心的活动D.是主观和客观综合评估的结果；6 .信息系统保护轮廓ISPP定义了_.A.某种类型信息系统的与实现无关的一组系统级平安保障要求B.某种类型信息系统的与实现相关的一组系统级平安保障要求C.某种类型信息系统的与实现无关的一组系统级平安保障目的D.某种类型信息系统的与实现相关的一组系统级平安保障目的7 .以下对PPDR模型的解释错误的选项是：A.该模型提出以平安策略为核心，防护、检测和恢复组

4、成一个完整的，8 .该模型的一个重要奉献是加进了时间因素，而且对如何实现系统平安状态给出了操作的描述C.该模型提出的公式1:Pt>Dt+Rt,代表防护时间大于检测时间加响应时间D.该模型提出的公式1:Pt=Dt+Rt，代表防护时间为0时，系统检测时间等于检测时间加响应时间8.以下哪一项不是我国国务院信息化办公室为加强信息平安保障明确提出的九项作容之一？A.提高信息技术产品的国产化率8 .保证信息平安资金投入&C.加快信息平安人才培养D.重视信息平安应急处理工作9 .谁首先提出了扩散-混淆的概念并应用于密码学领域？A.香农B. ShamirC. HellmanD.图灵10.以下哪些

5、问题、概念不是公钥密码体制中经常使用到的困难问题？A.大整数分解B.离散对数问题C.背包问题D.伪随机数发生器11.以下关于kerckhofff准那么的合理性阐述中，哪一项为哪一项正确的？A.保持算法的秘密比保持密钥的秘密性要困难得多B.密钥一旦泄漏，也可以方便地更换C.在一个密码系统中，密码算法是可以公开的，密钥应保证平安D.公开的算法能够经过更严格的平安性分析12 .以下关于RSA算法的说法，正确的选项是：A. RSA不能用于数据加密B. RSA只能用于数字签名C. RSA只能用于密钥交换D. RSA可用于加密，数字签名和密钥交换体制13 .Hash算法的碰撞是指：A.两个不同的消息，得到

6、一样的消息摘要B.两个一样的消息，得到不同的消息摘要C.消息摘要和消息的长度一样D.消息摘要比消息的长度更长14 .以下哪种算法通常不被用于保证性？A. AESB. RC4C. RSAD. MD515 .数字证书的功能不包括:A.加密B.数字签名C.身份认证D.消息摘要16 .以下哪一项为哪一项注册机构RA的职责?A.证书发放B.证书注销C.提供目录效劳让用户查询D.审核申请人信息17. IPsec工作模式分别是：A.一种工作模式：加密模式B.三种工作模式：模式、传输模式、认证模式C.两种工作模式：隧道模式、传输模式D.两种工作模式：隧道模式、加密模式18 .以下哪些描述同SSL相关？A.公钥

7、使用户可以交换会话密钥，解密会话密钥并验证数字签名的真实性B.公钥使用户可以交换会话密钥，验证数字签名的真实性以及加密数据C.私钥使用户可以创立数字签名，加密数据和解密会话密钥。19 .以下关于IKE描述不正确的选项是：A. IKE可以为IPsec协商关联B. IKE可以为RIPV2OSPPV2等要求的协议协商平安参数C. IKE可以为L2TP协商平安关联D.IKE可以为SNMPv3等要求的协议协调平安参数20 .下面哪一项不是VPN协议标准？A. L2TPB. IPSecC. TACACSD. PPTP21 .自主访问控制与强制访问控制相比具有以下哪一个优点?A.具有较高的平安性B.控制粒度

8、较大C.配置效率不高D.具有较强的灵活性22 .以下关于ChineseWall模型说确的是A.Bob可以读银行a的中的数据，那么他不能读取银行c中的数据B.模型中的有害客体是指会产生利益冲突，不需要限制的数据C. Bob可以读银行a的中的数据，那么他不能读取石油公司u中的数据D. Bob可以读银行a的中的数据，Alice可以读取银行b中的数据，他们都能读取在油公司u中的数据，由那么Bob可以往石油公司u中写数据23 .以下关于BLP模型规那么说法不正确的选项是：A. BLP模型主要包括简单平安规那么和*-规那么B. *-规那么可以简单表述为下写C.主体可以读客体，当且仅当主体的平安级可以支配客

9、体的平安级，且主体对该客体具有自主型读权限D.主体可以读客体，当且仅当客体的平安级可以支配主体的平安级，且主体对该客体具有自主型读权限24 .以下关于RBAC模型说确的是：A.该模型根据用户所担任的角色和平安级来决定用户在系统中的访问权限B. 一个用户必须扮演并激活某种角色，才能对一个象进展访问或执行某种操作C.在该模型中，每个用户只能有一个角色D.在该模型中，权限与用户关联，用户与角色关联25 .以下对常见强制访问控制模型说法不正确的选项是：A. BLP影响了许多其他访问控制模型的开展B. Clark-Wilson模型是一种以事物处理为根本操作的完整性模型C. ChineseWall模型是一

10、个只考虑完整性的平安策略模型D. Biba模型是一种在数学上与BLP模型对偶的完整性保护模型26 .访问控制的主要作用是：A.防止对系统资源的非授权访问B.在平安事件后追查非法访问活动C.防止用户否认在信息系统中的操作D.以上都是27 .作为一名信息平安专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用以下哪一种访问控制模型？A.自主访问控制DACB.强制访问控制(MAC)C.基于角色访问控制(RBAC)D.最小特权(LEASTPrivilege)28 .以下对kerberos协议特点描述

11、不正确的选项是：A.协议采用单点登录技术，无法实现分布式网络环境下的认证一B.协议与授权机制相结合，支持双向的身份认证C.只要用户拿到了TGT并且TGT没有过期，就可以使用该TGT通过TGS完成到任一个效劳器的认证而不必重新输入密码D.AS和TGS是集中式管理，容易形成瓶颈，系统的性能和平安也严重依赖于AS和TGS的性能和平安29 .以下对单点登录技术描述不正确的选项是：A.单点登录技术实质是平安凭证在多个用户之间的传递或共享B.使用单点登录技术用户只需在登录时进展一次注册，就可以访问多个应用C.单点登录不仅方便用户使用，而且也便于管理D.使用单点登录技术能简化应用系统的开发30 .以下对标识

12、和鉴别的作用说法不正确的选项是：A.它们是数据源认证的两个因素B.在审计追踪记录时，它们提供与某一活动关联确实知身份C.标识与鉴别无法数据完整性机制结合起来使用D.作为一种必要支持，访问控制的执行依赖于标识和鉴别确知的身份31 .下面哪一项不属于集中访问控制管理技术？A. RADIUSB. TEMPESTC. TACACSD. Diameter32 .平安审计是系统活动和记录的独立检查和验证，以下哪一项不是审计系统的作用？A.辅助辨识和分析未经授权的活动或攻击B.对与已建立的平安策略的一致性进展核查C.及时阻断违反平安策略的致性的访问D.帮助发现需要改良的平安控制措施33 .以下对蜜网关键技术

13、描述不正确的选项是：A.数据捕获技术能够检测并审计黑客的所有行为数据B.数据分析技术那么帮助平安研究人员从捕获的数据中分析出黑客的具体活动，使用工具及其意图C.通过数据控制能够确保黑客不能利用蜜网危害第三方网络的平安D.通过数据控制、捕获和分析，能对活动进展监视、分析和阻止34 .以下哪种无线加密标准中哪一项的平安性最弱？A. WepB. wpaC. wpa2D. wapi35 .路由器的标准访问控制列表以什么作为判别条件？A.数据包的大小B.数据包的源地址C.数据包的端口号D.数据包的目的地址36 .通常在设计VLAN时，以下哪一项不是VIAN规划方法？A.基于交换机端口B.基于网络层协议C

14、.基于MAC地址D.基于数字证书37 .防火墙中网络地址转换MAT的主要作用是：A.提供代理效劳B.隐藏部网络地址C.进展入侵检测D.防止病毒入侵38 .哪一类防火墙具有根据传输信息的容如关键字、文件类型来控制访问连接的能力?A.包过滤防火墙B.状态检测防火墙C.应用网关防火墙D.以上都不能39 .以下哪一项不属于入侵检测系统的功能？A.监视网络上的通信数据流B.捕捉可疑的网络活动C.提供平安审计报告D.过滤非法的数据包40 .下面哪一项不是通用IDS模型的组成局部：A.传感器B.过滤器C.分析器D.管理器41 .windows操作系统中，令人欲限制用户无效登录的次数，应当怎么做？A.在本地平

15、安设置中对密码策略进展设置B.在本地平安设置中对用户锁定策略进展设置C.在本地平安设置中对审核策略进展设置D.在本地平安设置中对用户权利措施进展设置42 .以下哪一项与数据库的平安的直接关系?A.访问控制的程度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量43 .ApacheWeb效劳器的配置文件一般位于/local/spache/conf目录.其中用来控制用户访问Apache目录的配置文件是：A.httqd.confB.srm.confC.access.confD.inetd.conf44 .关于计算机病毒具有的感染能力不正确的选项是：A.能将自身代码注入到引导区B.能将自身代

16、码注入到限区中的文件镜像C.能将自身代码注入文本文件中并执行D.能将自身代码注入到文档或模板的宏中代码45 .蠕虫的特性不包括：A.文件寄生B.拒绝效劳C.传播快D.隐蔽性好46 .关于网页中的恶意代码，以下说法错误的选项是：A.网页中的恶意代码只能通过IE浏览器发挥作用B.网页中的恶意代码可以修改系统注册表C.网页中的恶意代码可以修改系统文件D.网页中的恶意代码可以窃取用户的文件47 .当用户输入的数据被一个解释器当作命令或查询语句的一局部执行时，就会产生哪种类型的漏洞？A.缓冲区溢出B.设计错误C.信息泄露D.代码注入48 .以下哪一项不是信息平安漏洞的载体？A.网络协议B.操作系统C.应

17、用系统D.业务数据49 .攻击者使用伪造的SYN包，包的源地址和目标地址都被设置成被攻击方的地址，这样被攻击方会给自己发送SYN-ACK消息并发回ACK消息,创立一个连接，每一个这样的连接都将保持到超日为止，这样过多的空连接会耗尽被攻击方的资源，导致拒绝效劳.这种攻击称为之为：A.Land攻击B.Smurf攻击C.PingofDeath攻击D.ICMPFlood50 .以下哪个攻击步骤是IP欺骗（IPSPoof）系列攻击中最关键和难度最高的？A.对被冒充的主机进展拒绝效劳，使其无法对目标主机进展响应B.与目标主机进展会话，猜想目标主机的序号规那么C.冒充受信主机想目标主机发送数据包，欺骗目标主

18、机D.向目标主机发送指令，进展会话操作51 .以下针对Land攻击的描述，哪个是正确的？A.Land是一种针对网络进展攻击的方式，通过IP欺骗的方式向目标主机发送欺骗性数据报文导致目标主机无法访问网络B. Land是一种针对网络进展攻击的方式，通过向主机发送伪造的源地址为目标主机自身的连接请求，导致目标主机处理错误形成拒绝效劳C. Land攻击是一种利用协议漏洞进展攻击的方式，通过发送定制的错误的数据包使主机系统处理错误而崩溃D. Land是一种利用系统漏洞进展攻击的方式，通过利用系统漏洞发送数据包导致系统崩溃52 .以下对垮站脚本攻击（XSS,苗述正确白选项是：A. XSS攻击指的是恶意攻击

19、者往WEB页面里插入恶意代码，当用户浏览该页之时，嵌入其中WEB里面的代码会被执行，从而到达恶意攻击用户的特殊目的.B. XSS攻击是DDOS攻击的一种变种C.XSS攻击就是CC攻击D. XSS攻击就是利用被控制的机器不断地向被发送访问请求，迫使NS连接数超出限制，当CPU资源或者带宽资源耗尽，那么也就被攻击垮了，从而到达攻击目的53 .以下哪一项不属于FUZZ测试的特性？A.主要针对软件漏洞或可靠性错误进展测试.B.采用大量测试用例进展鼓励响应测试C.一种试探性测试方法，没有任何依据&D.利用构造畸形的输入数据引发被测试目标产生异常54对攻击面（Attacksurface）的正确定义

20、是：A.一个软件系统可被攻击的漏洞的集合，软件存在的攻击面越多，软件的平安性就越低B.对一个软件系统可以采取的攻击方法集合，一个软件的攻击面越大平安风险就越大C. 一个软件系统的功能模块的集合，软件的功能模块越多，可被攻击的点也越多，平安风险也越大D.一个软件系统的用户数量的集合，用户的数量越多，受到攻击的可能性就越大，平安风险也越大55 .以下哪个不是软件平安需求分析阶段的主要任务？A.确定团队负责人和平安参谋B.威胁建模C.定义平安和隐私需求（质量标准）D.设立最低平安标准/Bug栏56 .风险评估方法的选定在PDCA循环中的那个阶段完成？A.实施和运行B.保持和改良C建立D.监视和评审5

21、7 .下面关于ISO27002的说法错误的选项是：A.ISO27002的前身是ISO17799-1B.ISO27002给出了通常意义下的信息平安管理最正确实践供组织机构选用，但不是全部C.ISO27002对于每个措施的表述分控制措施'、"实施指南'、和"其它信息三个局部来进展描述D.ISO27002提出了十一大类的平安管理措施，其中风险评估和处置是处于核心地位的一类平安措施58 .下述选项中对于“风险管理的描述正确的选项是：A.平安必须是完美无缺、面面俱到的。B.最完备的信息平安策略就是最优的风险管理对策。C.在解决、预防信息平安问题时，要从经济、技术、管理

22、的可行性和有效性上做出权衡和取舍D.防缺乏就会造成损失；防过多就可以防止损失。59 .风险评估主要包括风险分析准备、风险素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的？A.风险分析准备的容是识别风险的影响和可能性B.风险要素识别的容是识别可能发生的平安事件对信息系统的影响程度C.风险分析的容是识别风险的影响和可能性D.风险结果判定的容是发现系统存在的威胁、脆弱和控制措施60 .你来到效劳器机房隔壁的一间办公室，发现窗户坏了。由于这不是你的办公室，你要求在这办公的员工请维修工来把窗户修好。你离开后，没有再过问这事。这件事的结果对与持定脆弱性相关的威胁真正出现的

23、可能性会有什么影响？A.如果窗户被修好，威胁真正出现的可能性会增加B.如果窗户被修好，威胁真正出现的可能性会保持不变C.如果窗户没被修好，威胁真正出现的可能性会下降D.如果窗户没被修好，威胁真正出现的可能性会增加61 .在对平安控制进展分析时，下面哪个描述是错误的？A.对每一项平安控制都应该进展本钱收益分析，以确定哪一项平安控制是必须的和有效的B.应选择对业务效率影响最小的平安措施C.选择好实施平安控制的时机和位置，提高平安控制的有效性D.仔细评价引入的平安控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应62 .以下哪一项不是信息平安管理工作必须遵循的原那么？A.风险管理在系统开发之

24、初就应该予以充分考虑，并要贯穿于整个系统开发过程之中B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期的持续性工作C.由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施本钱会相对较低D.在系统正式运行后，应注重剩余风险的管理，以提高快速反响能力63 .对于信息系统风险管理描述不正确的选项是：A.漏洞扫描是整个平安评估阶段重要的数据来源而非全部B.风险管理是动态开展的，而非停滞、静态的C.风险评估的结果以及决策方案必须能够相互比拟才可以具有较好的参考意义D.风险评估最重要的因素是技术测试工具64.以下哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系？A.脆弱性增加了

25、威胁，威胁利用了风险并导致了暴露B.风险引起了脆弱性并导致了暴露，暴露又引起了威胁C.风险允许威胁利用脆弱性，并导致了暴露D.威胁利用脆弱性并产生影响的可能性称为风险，暴露是威胁已造成损害的实例65统计数据指出，对大多数计算机系统来说，最大的威胁是：A.本单位的雇员B.黑客和商业间谍C.未受培训的系统用户D.技术产品和效劳供给商66.风险评估按照评估者的不同可以分为自评和第三方评估。这两种评估方式最本质的差异是什么？A.评估结果的客观性B.评估工具的专业程度C.评估人员的技术能力D.评估报告的形式67应当如何理解信息平安管理体系中的“信息平安策略？A.为了到达如何保护标准而提供的一系列建议B.

26、为了定义访问控制需求面产生出来的一些通用性指引C.组织高层对信息平安工作意图的正式表达D.一种分阶段的平安处理结果68.以下哪一个是对人员平安管理中“授权蔓延这概念的正确理解？A.外来人员在进展系统维护时没有收到足够的监控B. 一个人拥有了不是其完成工作所必要的权限C.敏感岗位和重要操作长期有一个人单独负责D.员工由一个岗位变动到另一人岗位，累积越来越多权限69 .一个组织中的信息系统普通用户，以下哪一项为哪一项不应该了解的?A.谁负责信息平安管理制度的制定和发布B.谁负责都督信息平安制度的执行C.信息系统发生灾难后，进展恢复工作的具体流程&D.如果违反了制度可能受到的惩戒措施70 .一上组织财务系统灾难恢复方案声明恢复点目标RPO是没有数据损失，恢复时间目标RTO是72小时。以下哪一技术方案是满足需求且最经济的？A.一个可以在8小时用异步事务的备份日志运行起来的热站B.多区域异步更新的分布式数据库系统C. 一个同步更新数据和主备系统的热站D. 一个同步过程数据拷备、可以48小时运行起来的混站71.以下哪一种数据告缺方式可以保证最高的RPO要求：A.同步复制B.异步复制C.定点拷贝复制D.基于磁盘的复制72 .当公司计算机网络受到攻击，进展现场保护应当：1指定可靠人员看守2）无特殊且十分必须原因制止