cisp试题网络来源-相关及答案集

人们对的认识从安全发展到保障，主要是出于针对信息系统的方式发生重大变风险控制技术得到性的发除了性，信息的完整性和可用性也引起了人们的关《GB/T20274级下面对特征和范畴的说法错误的是：A.是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑、B.是一个动态的问题，他随着的发展普及，以及产业基础，用户认识、C.是无边界的安全，互联网使得网络边界越来越模糊，因此确定的信息D.是非传统的安全，各种信息网络的互联互通和资源共享，决定了具有国防部《信息保障技术框架（IATF）在描述信息系统的安全需求时，将信息内网和两个部用户终端、服务器、系统、网络设备和通信线路、应用五个部信用户终端、服务器、系统、网络设备和通信线路、应用，安全防护措施六个关于策略的说法中，下面说法正确的是在信息系统尚未建设完成之前，无法确定策下列对于保障深度防御模型的说法错误的是A.外部环境：保障是组织机构安家安全的一个重要组成部分，因此对的必须放在国家政策、和标准的外部环境制约下。，B.管理和工程：保障需要在整个组织机构内建立和完善管理体系，将管理综合至信息系统的整个生命周期，在这个过程中需要采用信息系，C.人才体系：在组织机构中应建立完善的安全意识，培训体系无关紧D.技术方案从外而内、自下而上、形成端到端的防护能力全面构建我国人才体系是国家政策、组织机构保障建设和有关自身职业发展面的共同要求“加快人才培训增强全民意识”的指导精神，是以下哪一个国家政策文件？A《息化小组关于加强保障工作的意见《等级保护管理办法《中民计算机信息系统安全保护条例《关于加强信息系统安全和管理工作一家商业公司的发生和事件后，应及时向哪一个部门报案公共信息监察局及其各地相应部互联网安全国家管理及其（简称管理机构）主管的管理工技术属于国家，国家对产品的科研、生产、销售和使用实行专控产品由国家管理机构的单位销个人可以使用经国家管理机构认可之外的产BMB20-2007《涉及国家的计算机信息系统分级保护管理规范BMB22-2007《涉及国家的计算机信息系统分级保护指南GB/T20271-2006《技术信息系统统用安全技术要求（PP）TOESSE-CMM是关于建设工程实施方面的标SSE-CMM的目的是建立和完善一套成、可度量的安全工程过SSE-CMMSSE-CMMISO27000系列包含的标准《管理体系要求《风险管理《度量《评估规范下面哪项不是《等级保护管理办法（公通字【2007】43号）规定的内容跨省或联网运行的信息系统可由主管部门确定安全保护等第二级信息系统应当每年至少进行一次等级，第三级信息系统应当每？？？少进行一次等级触犯新刑法285条规定的侵入计算机系统罪三年以下有期或拘1000三年以上五年以下有期10000常见系统包含的元素是明文，密文，信道，加密算法，算明要，信道，加密算法，算明文，密文，密钥，加密算法，算消息，密文，信道，加密算法，算

A公钥算法和对称算法相比，在应用上的优势是：以下哪一个学不需要共享密钥？BB.消息下列哪种算法通常不被用户保证性？能够保护被签名的数据签名必须能够由第验认证中心（CA）的职责是 签发和管理数字以下对于接层（SSL）的说法正确的是主要是使用对称密钥体制和X.509数字技术保护信息传输的性和完整Webserver包含三个主要协议：AH,E下面对控制技术描述最准确的是保证系统资源的以下关于控制表和能力表的说法正确的是A.能力表表示每个客体可以被的主体及其权B.控制表说明了每个主体可以的客体及权C.控制表一般随主体一起保D.能力表更容易实现权限的传递，但回收权限较下面哪一项控制模型使用安全（security自主控非自主控强制控基于角色的控某个客户的网络限制可以正常internet互联网，共有200台终端PC但此客户从（互联网络服务提供商）16IPv416PC可以互联网，要想让全部200台终端PCinternet互联网最好采取什么办法或技术：B花的钱向ISP申请的IP地WAPI我国自主研发的公开密钥体制的椭圆曲线算国际上通行的加密标国家管理批准的流加密标 D.以下哪个不是具备的功能是指设置在不同网络或域（公共网和企业网）之间的一系列部件的它是不同域）之间的唯一能根据企业的安全政策控制（允许、、监测）出入网络的信息防止来源于的和桥接或透明模式是目前比较流行的部署方式，这种方式的优点不包括本身不容易受到易于在上实现有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现Unix系统中，/etc/serviceinetdwindowswindows系统日志各种各样的系统事件，例如系统启动过程中的事件或者硬件和控制安全日志各类网络事件，例如服务、口令（view 是一小段在浏览器端文本信息，web应用程序可 可以一些敏感的用户信息，从而造成一定的安全风通 提交精妙构造的移动代码，绕过验证的叫防 的一个有效方法是不使 验证方法，而使用session验证方者在WEB页面的HTML代码中具有目的的数据，用户认为该页面是赖的但是当浏览器该页面嵌入其中的将被解释执行这是哪种类型的？DSQLD.D.跨 通常在数据库中，用户信息中的一项，是以哪种形式存在？hash运算后的消息值存下列属于DDOS的是SYN洪水TCP连接SQL注入这种情况属于哪一种重放SmurfCC.字典D.服务尝试利通过网页上的来获取的方式，实质上是一种社会工程 旁路以下哪个不是减少自身的安全和缓解自身安全的危害的方法加强的安全需求分析，准确定义安全需编制详 安全使用手册，帮助设置良好的安全使根据SSE-CMM工程过程可以划分为三个阶段，其中 SSE-CMMSSE-CMM评估、评估脆弱性、评估影评估、评估脆弱性、评估安全风评 、评估脆弱性、评估影响、评估安全风评估、评估脆弱性、评估影响、验证和证实安IT防止缓冲区溢出根据监理单位的保障知识和项目经验完成招标文件中的技术需求部是一个的概（ITF 监测和自适用填充“安全间隙”为循环来提下面哪一项表示了信息不被篡改的属性以下关于信息系统安全保障是和客观的结合说法最准确的是信息系统安全保障不仅涉及安全技术还应综合考虑安全管理安全工程和安全等 是一种通过客观向信息系统评估者提供信心的活是和客观综合评估的结公钥算法和对称算法相比，在应用上的优势是以下哪种公钥算法既可以用于数据加密又可以用于密钥交换D目前对MD5，SHA1算法的是指对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消。对于一个已知的消息，能够恢复其原始消对于一个已知的消息，能够构造一个不同的消息，也能通过验证58DSA关于PKI/CA，下面哪一种说法是错误的上具有中心的数字签上列有拥有者的基本信上列有拥有者的公开密 拥有者 密认证中心（CA）的职责 下列哪一项是虚拟网络 ）的安全功能验证，控制和隧道，和拨压缩，和以下对Kerberos协议过程说法正确的是协议可以分为两个步骤：一是用户鉴别：二是获取请求服协议可以分为两个步骤：一是获得票据票据；二是获取请求服 OSI7个层次，提供了相应的安全服务来加强信息系统的安全性。以下哪一层提供了性、鉴别、数据完整性服务？AA BCDLinuxpasswdbackupbackup账号的默认 是Backup账号登录后使用的 是Backup以下关于linuxrootsusudorootRoot是系统的超级用户，无论是否为文件和程序的所有者都具有权WINDOWS在“本地安全设置”中对“策略”进行设 WINDOWSwindows应用日志应用程序关联的事件，例如应用程序产生的装载DLL（动态库）失败DD.等以下关于windowsSAM（安全账户管理器）安全账户管理器（SAM）的账号信息是在表 的账号信息对administrator和system是可读和可写安全账户管理器（SAM）是windows的用户数据库，系统进程通过SecurityAccountsManager服务进行和操作（viewABCD多门《计算机信息系统国际联网管理规定》是由下列哪个部门所制定的规章制度? C.信息D.国家管理73、下列哪项不是《等级保护管理办法（公通字[2007]43号）规定的内容A．息安全等级保护坚持自主定级，自主保护的原则。C．跨省或联网运行的信息系统可由主管部门确定安全保护等一次等 一次等 74《刑法》第六章第285、286、287条对计算机的内容和量刑进行了明确的规定，下C.利用计算机实施75、一家商业公司的发生和事件后，应及时向哪一个部门报案？ B.C.互联网安全D.产业商国家管理及其（简称管理机构）主管的管理工D.个人可以使用经国 管理机构认可之外 产技术属于国家，国家对产品的D.个人可以使用经国 管理机构认可之外 产77、下面关于《中民保守国家法》的说法错误的是《定一切公民都有保守国家的义““ 的目的出发，应将密级尽量定数据库事务日志的用途是D．性控 是一小段在浏览器端文本信息，web应用程序可 包含的信息可以一些敏感的用户信息，从而造成一定的安全风通 提交精妙构造的移动代码，绕过验证的叫防 的一个有效方法是不使 验证方法，而使用session验证方法。者在WEB页面的HTML代码中具有目的的数据，用户认为该页面是赖的但是当浏览器该页面嵌入其中的脚步将被解释执行这是哪种类型的？sql 通常在数据库中，用户信息中的一项，是以哪种形式存在C.hash运算后的消息 者往WED页面 代码，当用户浏览浏览该页之时，入其中WEB里面的代码会执行，从而达 用户的特殊目A.B.XSS时DDOS的一种变C.XSS就是CCD.XSS就是利用被控制的机器不断地向被发送请求迫使IIS连接数超出限制，当CPU资源或者带宽资源耗尽，那么也就被垮了，从而达到目的下列哪种技术不是代码的生产技术反技术信息Smurf利用下列哪种协议进行这种情况属于哪一种？重放Smurf 87渗透性测试的第一步是服务尝试利88安全开发中安全需求分析阶段的主要目的是确定的面，根据面制定安全防护策确定在计划运行环境中运行的最低安全要A4种控制方法有：降低风险/转嫁风险/规避风险/ C组织应依据方针和组织要求的安全保证程度来确定需要处理的风如果你作为甲方负责一个工程项目的实施，当乙方提出一项工程变更时你应当如可理解管理体系中的“策略A为了达到如何保护标准而一系列建B为了定义控制需求而产生出来的一些通用性指C组 工作意图的正式表D以下关于“最小”安全管理原则理解正确的是对重要的工作进行分解，分配给不同完 和权作为中的信息系统普通用户，以下哪一项不是必须了解的谁负责管理制度的制度和发谁负责监督制度的执 后，进行恢复的整体工作流如果了安全制度可能会受到的惩戒措（职责分离是管理的一个基本概念其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的单独进行操作）可以对应用程序系统特征或控制功能进行破坏。当以下哪一类安全系统的时候，会造成对“职责分离”原则的违（在《信息系统恢复规范》中，根据----要素，将恢复等级划分 A．B．C．D．在业务持续性计划中，RTODSSE-CMM是一种属于组织能力方案（Staged）101、下面关于保障的说法错误的是保障的概念是与的概念同时产生信息系统安全保障要素包括信息的完整性，可用性和保障 技术并列构成实 的两大主某在量突然增加时对用户连接数量进行了限制保证已登录的用户可以完成操ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操在每天下班前将重要文件锁在室的柜中使成清洁工的商业无法103注重安全管理体系建设意识的培训和教育是发展哪一个阶段的特点 104、以下哪一项不是我国信息化为加强保障明确九项重点工 产品 C.加快人才培D.重视应急处理工105、以下关于置换的说法正确的是C.bit异或106、以下关于代替的说法正确的是C.bit异或107、常见系统包含的元素是B.明要、信道、加密算法、算 D.消息、密文、信道、加密算法、算108、在学的Kerchhoff假设中，系统的安全性仅依赖 109、PKI在验证一个数字时需要查 来确认该是否已经作110CAA.撤销和中止用户的B.CA的公钥 111、一项是虚拟网络 ）的安全功能A.验证，控制盒B.隧道，和拨号D.压缩，和A.Bell-LaPadula模型中的不允许向下写B.Bell-LaPadula模型中的不允许向上度C.Biba模型中的不允许向上写D.Biba113、下面哪一个情景属于鉴别（Authentication）过程C.用户使用加密对自己编写的office文档进行加密，以其他人得到这份拷贝后看到114、下列对KerberosB.协议与机制相结合，支持双向的认C.TGTTGTTGTTGS完成到任一个服务器的认证而不必重新输入D.ASTGSASTGS的性A.强制控B.自主控C.分布式控 控A.可以吸引或转移者的注意力，延缓他们对真正目标的B.吸引者来、，同时不被觉察地将者的活动记录下 检测和 D.可以对活动进行监视、检测和分A.审计系般包括三个部分：日志记录、日志分析和日志处B.审计系般包含两个部分：日志记录和日志处C.审计系般包含两个部分：日志记录和日志分 般包含三个部分：日志记录、日志分析和日志报118ISOOSIC.控119OSI7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了性、鉴别、数据完整性服务？C会话层120、WAPI 算B.国际上通行的加密标C.国家管理批准的流加密标121VLANVLANC.MAC地址 122某个客户的网络现在可以正常Internet互联网共有200台终端PC但此客户从（互联网络服务提供商）16IPv416PC可以互联网，要想让全部200台终端PCInternet互联网最好采取什么方法或技术：A、花的钱向ISP申请的IP地D123、以下哪一个数据传输方式难以通过网络获取信息A.FTPB.NET进行管C.URLHTTPS124、桥接或透明模式是目前比较流行的部署方式，这种方式的优点不包括 上实现125IDSB、基于特征（Signature-based）的系统化基于行为（behavior-based）的系统产生的误C、基于行为（behavior-based）的状态数据库来与数据包和相匹126NIDSC.SYND.IP-58test”对它的含释错误的是128Unix系统中，/etc/serviceBinetd启动网络服务时，启动那些服务129、以下对windowsA、windowsSID（安全标识符）来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windowsadministrationguest两个账号，两个账号都不允许改名和删D、windowsadministrationguest130WindowsA、windowsB、windowsC、windowsD、windows131、以下哪一项不是IIS服务器支持的控制过滤类型A.网络地址控制B.WEB服务器C.NTFS3部分组成，以下哪一个不是完整性规则的内容？D.性控 是一小段在浏览器端文本信息，web应用程序可 可以一些敏感的用户信息，从而造成一定的安全风 提交精妙构造的移动代码，绕过 验证 叫D、防 的一个有效方法是不使 验证方法，而使用session验证方D、137、ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf 户Apache Ahttpd.conf 客户端代码的保B、为客户端程序提供针对用户输入代码的保C、为用户提供针对网络移动代码的保D139、代码采用加密技术的目的是 代码自身保护的重要机B.加密技术可以保证代码不被发C.加密技术可以保证代码不被破140、代码反技术描述正确的是A 技术可以减少被发现的可能B.反技术可以避免所有杀毒的查C.反技术可以避免代码被消C.信息 B.用C.数144、过程是SQL语句的一个集合，在一个名称下，按独立单元方式执行，以下哪一项不是使用过程的优点： 过程的权限，以增强数据库的安全145、下列哪项内容描述的是缓冲区溢出骗服务器执行的SQL命令、B者在WEB页面的HTML代码中具有目的的数据，用户认为该页面是可信赖的，但是当浏览器该页面，嵌入其中的将被解释执行、147、以下哪个问题不是导致DNS的原因之一A.DNSB.为提高效率，DNSC.DNS协议传输没有经过加密的数据D.DNS协议是缺乏严格的认证148、以下哪个是ARP可能导致的A.ARP可直接获得目标主机的控制B.ARP可导致目标主机的系统，蓝屏重 可导致目标主机无 网D.ARP可导致目标主149、以下哪个步骤是IP（IPSpoof）系列中最关键和难度最高的A.对被冒充的主机进行服务，使其无法对目标主机进行响 目标主150、以下哪个服务方式不是流量型服务B.UDPFlood151、如果一名者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于哪一种？A.重放B.SmurfC.字典 152、信息可在哪里找到B.DNS记录D.MIBs库153、网络管理员定义“noipdirectedbroadcast”以减轻下面哪种155、下面关于测试的说法错误的是C、测试方案和应当成为开发项目文档的主要部分被妥善的保156Fuzz测试的特性？A、主要针对或可靠性错误进试D、利用构造畸形的输入数据被测试目标产生异157、 code是什么A.C语言编写的一段完成特殊功能代码158、通过向被者发送大量的ICMP回应请求，消耗被者的资源来进行响应，直至被者再也无法处理有效的网络信息流时，这种被称之为：A.LANDB.SmurfC.ofDeathD.ICMP C.APD.AP160、以下哪项是对抗ARP有效段A.ARPB.在网络上ARP报文的发C.安装杀毒并更新到的D.linux161ISO27002A.ISO27002ISO17799-B.ISO27002给出了通常意义下的管理最佳实践供组织机构选用，但不是全C.ISO27002D.ISO27002提出了十一大类的安全管理措施其中风险评估和处置是处于地位的一类安C-纠正性的控制）1、网络2、RAID级别33、银行账单的监督复审4、分配计算机户标识5、交易日志A、p,p,c,d,andCB、d,c,c,d,andDC、p,c,d,p,andDD、p,d,p,p,andD.风险结果判定的内容是发现系统存在的、脆弱性和控制措165、你来到服务器机房股比的一间，发现窗户坏了，由于这不是你的，你要A.如果窗户被修好，真正出现的问题性会增D.如果窗户没有被修好，166、在对安全控制进行分析时，下面哪个描述是确的D.仔细评价引入的安全控制对正常业务的影响，采取适当措施，尽可能减少效167、以下哪一项不是管理工作必须遵循的原则B.风险管理活动应成为系统开发、运行、、直至废弃的整个生命周期内的持续性工作168、对风险评估要素理解正确的是.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项D.信息系统的安全仅包括人为故意、人为非故169、以下哪一项不是建筑物的自动化审计系统记录的日志的内容C.出的位170、策略是管理层对工作意图和方向的正式表述，以下哪一项不是信息说明对组织的重要程介绍需要符合的要171、作为信息中心的，你发现没有足够的人力资源保证将数据库管理员和网络管理员抱怨且为向报告该情况，等待增派人通过部署审计措施和定 来降低风172、以下中，谁负有决定信息分类级别的责任173138000元，针对某个特定的因子（EF）是45%，该的年度发生率（ARO）为每10年发生一次，A、1800元B、62100元C、140000元D、6210元174、下列哪些内容应包含在信息系略计划中D.信息系统不同的年度目175、ISO27002中描述的11个管理控制领域不包括A.组176、依据《技术信息系统恢复规范（GB/T20988，需要备用场但不要求部署备用数据处理设备的是恢复等级的第几级179、有一些事件是由于信息系统中多个部分共同作用造成的，人们称这类事件为A.配置网络检测系统以检测某些类型的违法或误用行B.使用防，并且保持更新为的特征C.将所有公共的服务放在网络非军事区、、、180、依据《技术信息系统恢复规范（GB/T20988，恢复管理过程的主要步骤是恢复需求分析恢复策略制定恢复策略实现恢复预制定和管理；其中恢复策略实现不包括以下哪一项？、、、B.选择和建设备份中D.实现灾备系统技术支持和能A.测试系统应使用不低于生产系统的控制措施SSE-CMM是一种属于组织能力方案（Staged）183、的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规A.2B.3级-C.4D.5D185、SSE-CMMA.评估、评估脆弱性、评估影B.评估、评估脆弱性、评估安全风 、评估脆弱性、评估影响、评估安全风D.评估、评估脆弱性、评估影响、验证和证实安186、信息系统安全工程（ISSE）IT项目的各个阶段充分考虑安全因IT项目的立项阶段，以下哪一项不是必须进行的工作：A.明确业务对的要B.识别来自的安全要187、信息化建设和建设的关系应当是A.信息