CISP试题-上海cise带答案CISP试题

1、以下对于信息平安保证深度防御模型的说法错误的选项是：A、信息平安外部环境、信息平安保证是组织机构平安、国家平安的一个重要组成局部,因此对信息平安的讨论必须放在国家政策、法律法规和标准的外部环境制约下B、信息平安治理和工程,信息平安保证需要在整个组织机构内建立和完善信息平安治理体系,将信息平安治理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统C、信息平安人才体系,在组织机构中应建立完善的平安意识,培训体系也是信息平安保证的重要组成局部D信息平安技术方案：“从外面内,自下而上,形成边界到端的防护水平〞2、人们对信息平安的熟悉从信息技术平安开展到信息平安保证,主要是由于：A、为了更好地完成组织机构的使命B、针对信息系统的攻击方式发生重大变化C、风险限制技术得到革命性的开展D除了保密性,信息的完整性和可用性也引起了人们的关注3、关于信息保证技术框架〔IATF〕,以下哪种说法是错误的？A、IATF强调深度防御,关注本地计算环境、区域边界、网络和根底设施、支撑性根底设施等多个领域的平安保证B、IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务平安运作C、IATF强调从技术、治理和人等多个角度来保证信息系统的平安DIATF强调的是以平安检测、漏洞监测和自适应填充“平安间隙〞为循环来提升网络平安4、信息系统保护轮廓〔ISPP〕定义了A、某种类型信息系统的与实现无关的一组系统级平安保证要求B、某种类型信息系统的与实现相关的一组系统级平安保证要求G某种类型信息系统的与实现无关的一组系统级平安保证目的D某种类型信息系统的与实现相关的一组系统级平安保证目的5、下面对于信息平安特征和范畴的说法错误的选项是：A、信息平安是一个系统性的问题,不仅要考虑信息系统本身的技术问题,还要考虑人员、治理、政策等众多因素B、信息平安是一个动态的问题,它随着信息技术的开展普及,以及产业根底、用户熟悉、投入产出而开展C、信息平安是无边界的平安,互联网使得网络边界越来越模糊,因此确定一个组织的信息平安责任是没有意义的D信息平安是非传统的平安,各种信息网络的互联互通和资源共享,决定了信息平安具有不同于传统平安的特点6、椭圆曲线密码方案是指:A、基于椭圆曲线上的大整数分解问题构建的密码方案B、通过椭圆曲线方程求解的困难性构建的密码方案G基于椭圆曲线上有限域离散对数问题构建的密码方案D通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案7、hash算法的碰撞是指：A、两个不同的消息,得到相同的消息摘要CA、两个不同的消息,得到相同的消息摘要C、消息摘要和消息的长度相同8、Alice从Sue那里收到一个发给她的密文,密这个密文？A、Alice的公钥B、Alice的私钥D消息摘要比消息长度更长其他人无法解密这个密文,Alice需要用哪个密钥来解C、Sue的公钥DSue的私钥9、数字签名应具有的性质不包括：A、能够验证签名者B、能够认证被签名消息C、能够保护被签名的数据机密性D签名必须能够由第三方验证10、Alice有一个消息M通过密钥K和MAO法生成一个MAC^JC〔K,M〕,Alice将这个MACS加在消息M后面发送给Bob,Bob用密钥K和消息M计算MA"进行比拟,这个过程可以提供什么平安服

务？A、仅提供保密性B、仅提供不可否认性C、提供消息认证D保密性和消息认证11、时间戳的引入主要是为了预防：A、死锁R丧失G重放D拥塞12、与RSA(rivest,shamir,adleman)算法相比,DSS(digitalsignaturestandard)不包括:A、数字签名B、鉴别机制C、加密机制D数据完整性13、在数字信封中,综合使用对称加密算法和公钥加密算法的主要原因是：A、混合使用两种加密方法可以增加破译者的难度,使其更加难以破译原文,从而保证信息的保密性B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种折中做法G两种加密算法的混用,可以提升加密的质量,这是我国密码政策所规定的要求D数字信封综合采用这两种算法为的是为了预防收到信息的一方否认他收到了该信息,即抗接受方抵赖14、以下哪个选项是公钥根底设施(PKI)的密钥交换处理流程？(1)接收者解密并获取会话密钥(2)发送者请求接收者的公钥(3)公钥从公钥目录中被发送出去(4)发送者发送一个由接收者的公钥加密过的会话密钥A、4,3,2,1B2,1,3,4C2,3,4,1D2,4,3,115、IPSEC密钥协商方式有：A、一种,手工方式B、二种,手工方式、IKE自动协商C、一种,IKE自动协商D二种,IKE自动协商、隧道协商16、以下哪一项不是工作在网络第二层的隧道协议：A、VTPB、L2FC、PPTPDL2TP17、与PDR真型相比,P2DR真型多了哪一个环节？A、防护B、检测C、反响D策略18、以下有关访问限制矩阵中行和列中元素的描述正确的选项是：A、行中放用户名,列中放对象名B、行中放程序名,列中放用户名G列中放用户名,行中放设备名D列中放标题,行中放程序19、以下哪一种访问限制模型是通过访问限制矩阵来限制主体与客体之间的交互？A、强制访问限制(MACB、集中式访问限制(DecentralizedAccessControl)G分布式访问限制(DistributedAccessControl)D自主访问限制(DAC20、以下哪一项不是BLP模型的主要任务：A、定义使得系统获得“平安〞的状态集合B、检查所有状态的变化均始于一个“平安状态〞并终止于另一个“平安状态〞G检查系统的初始状态是否为“平安状态〞D选择系统的终止状态21、访问限制表与访问水平表相比,具有以下那个特点：A、访问限制表更容易实现访问权限的特点R访问水平表更容易浏览访问权限G访问限制表回收访问权限更困难D访问限制表更适用于集中式系统22、在Clark-Wilson模型中哪一项不是保证完整性任务的？A、预防职权的滥用R预防非授权修改C、维护内部和外部的一致性D预防授权但不适当地修改23、以下对单点登录技术描述不正确的选项是：A、单点登录技术实质是平安凭证在多个用户之间的传递或共享R使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用G单点登录不仅方便用户使用,而且也便于治理

D使用单点登录技术能简化应用系统的开发24、鉴别的根本途径有三种：所知、所有和个人特征,以下哪一项不是基于你所知道的：A、口令B、令牌C、知识D密码25、系统审计日志不包括以下哪一项：A、时间戳R用户标识C、对象标识D处理结果26、以下哪一项不是审计举措的平安目标：A、发现试图绕过系统平安机制的访问R记录雇员的工作效率G记录对访问客体采用的访问方式D发现越权的访问行为27、一个VLANW以看做是一个：A、冲突域B、播送域C、治理域D阻塞域28、以下对RADIUS^、议说法正确的选项是：A它是一种B/S结构的协议R它是一项通用的认证计费协议G它使用TCP®信D它的根本组件包括认证、授权和加密29、UDPW议和TC阴议对应于ISO/OSI模型的哪一层？A、链路层B、传输层C、会话层D表示层30、路由器的扩展访问限制列表能够检查流量的那些根本信息？A、协议,vtanid,源地址,目标地址B>协议,vianid,源端口,目标端口G源地址,目地地址,源端口,目标端口,协议D源地址,目地地址,源端口,目标端口,交换机端口号31、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行限制？A、ICMPB、IGMPC、ARPD>SNMP32、TC幽用第三次握手来建立一个连接,第二次握手传输什么信息：A、SYNBSYN+ACKCACKDFIN33、某个客户的网络现在可以正常访问Internet互联网,共有200台终端PC但此客户从ISP〔互联网络效劳提供商〕里只获得了16个公有的IPv4地址,最多也只有16台PC可以访问互联网,要想让全部200台终端PC访问Internet互联网最好采取什么方法或技术：A、花更多的钱向ISP申请更多的IP地址B、在网络的出口路由器上做源NATG在网络的出口路由器上做目的NATD在网络出口处增加一定数量的路由器34、以下哪个一个项对“ARP的解释是正确的：A、Accseeroutingprotocol----访问路由协议BAccseeroutingprotocol----访问解析协议GAddressresolutionprotocol-地址解析协议DAddressrecoveryprotocol-地址恢复协议35、下面对于X.25协议的说法错误的选项是？A、传输速率可到达56KbpsR其优点是反复的错误校验颇为费时G其缺点是反复的错误校验颇为费时D由于它与TCP/IP协议相比处于劣势,所以渐渐被后者淘汰36、以下对于DM型:的说法错误的选项是：A、它是网络平安防护的一个“非军事区〞B、它是对“深度防御〞概念的一种实现方案G它是一种比拟常用的网络平安域划分方式D要想搭建它至少需要两台防火墙37、哪一类防火墙具有根据传输信息的内容〔如关键字、文件类型〕来限制访问连续的水平？A、包过滤防火墙B、状态监测防火墙

G应用网关防火墙D以上都不是38、以下哪一项不属于入侵检测系统的功能A、监视网络上的通信数据流R捕捉可疑的网络活动G提供平安审计报告D过滤非法的数据包39、下面哪一项不是通过IDS模型的组成局部：A传感器B、过滤器G分析器D治理器40、下面哪一项为哪一项对IDS的正确描述？A、基于特征(Signature-based)的系统可以检测新的攻击类型B、基于特征(Signature-based)的系统化基于行为(behavior-based)的系统产生更多的误报G基于彳亍为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配D>基于彳亍为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报41、可信计算技术不能：A、保证系统具有免疫水平,从根本上阻止病毒和黑客等软件的攻击B、保证密钥操作和存储的平安C、保证硬件环境配置、操作系统内核、效劳及应用程序的完整性D使计算机具有更高的稳定性42、Chmod744test命令执行的结果是：A、test文件的所有者具有执行读写权限,文件所属的组合其它用户有读的权限B、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读的权限Gtest文件的所有者具有执行读和执行权限,文件所属的组和其它用户有读的权限Dtest文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读和写的权限43、Linux系统的用户信息保存在passwd中,某用户条目backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的选项是：A、backup账号没有设置登录密码B>backup账号的默认主目录是/var/backupsGbackup账号登陆后使用的shell是/bin/shD>backup账号是无法进行登录44、以下对windows账号的描述,正确的选项是：A、windows系统是采用SID(平安标识符)来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除D>windows系统默认生成administration和guest两个账号,两个账号都可以改名和删除45、以下哪一项不是IIS效劳器支持的访问限制过滤类型？A、网络地址访问限制B、web效劳器许可C、NTFSi^可D异常行为过滤46、以下哪个对windows系统日志的描述是错误的？A、windows系统默认有三个日志,系统日志,应用程序日志,平安日志B、系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和限制器的故障C、应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息D平安日志跟踪各类网络入侵事件,例如拒绝效劳攻击、口令暴力破解等47、为了实现数据库的完整性限制,数据库治理员应向DBMSS出一组完整性规那么来检查数据库中的数据,完整性规那么主要由三局部组成,以下哪一项不是完整性规那么的内容？A、完整性约束条件B、完整性才查机制G完整性修复机制D违约处理机制48、数据库事务日志的用途是什么？A、事务日志B、数据恢复C、完整性名^束D保密性限制49、以下哪一项不是SQL语言的功能A、数据定义B、数据检查C、数据操纵D数据加密50、以下哪一项为哪一项和电子邮件系统无关的？A、PEMB、PGPC、、X.500DX.40051、下面对于cookie的说法错误的选项是：

A、cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息,从而造成一定的平安风险G通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法,而是用session验证方法52、电子商务平安要求的四个方面是：A、传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖B、存储的平安性、传输的高效性、数据的完整性和交易各方的身份认证G传输的平安性、数据的完整性、交易各方的身份认证和交易不可抵赖性D存储的平安性、传输的高效性、数据的完整性和交易的不可抵赖性53、ApacheWeb效劳器的配置文件一般位于/usr/local/apache/conf目录,其中用来限制用户访问Apache目录的配置文件是：54、以下哪个是恶意代码采用的隐藏技术A、dA、d.confB、srm.confC、access.confinetd.confA、文件隐藏B、进程隐藏C、网络连接Bt藏D以上都是55、以下那种技术不是恶意代码的生存技术？A、反跟踪技术B、加密技术C、模糊变换技术D自动解压缩技术56、以下对于蠕虫病毒的说法错误的选项是：A、通常蠕虫的传播无需用户的操作B、蠕虫病毒的主要危害表达在对数据保密性的破坏G蠕虫的工作原理与病毒相似,除了没有感染文件阶段D是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序57、被以下哪种病毒感染后,会使计算机产生以下现象：系统资源被大量占用,有时会弹出RPC!务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响的,DNSffiIIS效劳遭到非法拒绝等.A、高波变种3TB、冲击波C、震荡波D尼姆达病毒58、当用户输入的数据被一个解释器当作命令或查询语句的一局部执行时,就会产生哪种类型的漏洞？A、缓冲区溢出B、设计错误C、信息泄露D代码注入59、下面对漏洞出现在软件开发的各个阶段的说法中错误的选项是？A、漏洞可以在设计阶段产生B、漏洞可以在实现过程中产生G漏洞可以在运行过程中产生D漏洞可以在验收过程中产生60、DNSt骗是发生在TCP/IP协议中层的问题A、网络接口层B、互联网网络层C、传输层D应用层61、IP欺骗(IPSpoof)是发生在TCP/IP协议中层的问题A、网络接口层R互联网网络层C、传输层D应用层62、分片攻击问题发生在：A、数据包被发送时B、数据包在传卒&过程中C、数据包被接收时D数据包中的数据进行重组时63、下面关于软件测试的说法错误的选项是：A、所谓“黑盒〞测试就是测试过程不测试报告中进行描述,且对外严格保密B、出于平安考虑,在测试过程中尽量不要使用真实的生产数据C、测试方案和测试结果应当成为软件开发工程文档的主要局部被妥善的保存D软件测试不仅应关注需要的功能是否可以被实现,还要注意是否有不需要的功能被实现了64、传统软件开发方法无法有效解决软件平安缺陷问题的原因是：A、传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护五个阶段B、传统的软件开发方法,注重软件功能实现和保证,缺乏对平安问题进行处理的任务、里程碑与方法论,也缺乏定义对平安问题的限制与检查环节G传统的软件开发方法,将软件平安定义为编码平安,力图通过标准编码解决平安问题,缺乏全面性

D传统的软件开发方法仅从流程上标准软件开发过程,缺乏对人员的培训要求,开发人员是软件安全缺陷产生的根源65、对攻击面(Attacksurface)的正确定义是：A、一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的平安性就越低B、对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大平安风险就越大G一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,平安风险也越大D一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,平安风险也越大66、下面对PDCA真型的解释不正确的选项是：A、通过规划、实施、检查和处置的工作程序不断改良对系统的治理活动B、是一种可以应用于信息平安治理活动持续改良的有效实践方法C、也被称为“戴明环〞D适用于对组织整体活动的优化,不适合单个的过程以及个人67、下面关于ISO27002的说法错误的选项是：A、A、ISO27002的前身是ISO17799-1B、ISO27002给出了通常意义下的信息平安治理最正确实践供组织机构选用,但不是全部GISO27002对于每个限制举措的表述分“限制举措〞,“实施指南〞和“其他信息〞三个局部来进行描述DISO27002提出了十一大类的平安治理举措,其中风险评估和处置是处于核心地位的一类平安举措68、下述选项中对于“风险治理〞的描述不正确的选项是：A、风险治理员是指导和限制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通B、风险治理的目的是了解风险并采取举措处置风险并将风险消除C、风险治理是信息平安工作的重要根底,因此信息平安风险治理必须贯穿到信息平安保证工作、信息系统的整个生命周期中D在网络与信息系统规划设计阶段,应通过信息平安风险评估进一步明确平安需求和平安目标.69、在信息平安领域,风险的四要素是指？A、资产及其价值、威胁、脆弱性、现有的和方案的限制举措B、资产及其价值、系统的漏洞、脆弱性、现有的和方案的限制举措C、完整性、可用性、机密性、不可抵赖性D减低风险、转嫁风险、躲避风险、接受风险70、在信息平安风险治理体系中分哪五个层面？A、决策层、治理层、执行层、支持层、用户层B、决策层、治理层、建设层、维护层、用户层C、治理层、建设层、运行层、支持层、用户层D决策层、治理层、执行层、监控层、用户层71、在风险治理工作中“监控审查〞的目的,一是;二是.A、保证风险治理过程的有效性,保证风险治理本钱的有效性B、保证风险治理结果的有效性,保证风险治理本钱的有效性C、保证风险治理过程的有效性,保证风险治理活动的决定得到认可D保证风险治理结果的有效性,保证风险治理活动的决定得到认可72、以下平安限制举措的分类中,哪个分类是正确的(p-预防性的,D-检测性白^以及C-纠正性的控制)1、网络防火墙2、编辑和确认程序3、账户应付支出报告4、账户应付对账5、RAID级别36、银6、银行账单的监督复审A、P,P,D,P,P,C,D,andCC、P,P,D,D,C,D,P,andC7、分配计算机用户标识B、D,P,P,P,C,C,D,andDDP,D,C,C,D,P,P,andD8、交易日志73、信息平安风险评估分为自评估和检查评估两种形式,以下描述不正确的选项是:A、信息平安风险评估应以自评估为主,自评估和检查评估相互结合、互为补充B、检查评估可在自评估实施的根底上,对关键环节或重点内容实施抽样评估

G检查评估也可委托风险评估效劳技术支持方实施,但评估结果仅对检查评估的发起单位负责D检查评估是指信息系统上级治理部门组织有关职能部门开展的风险评估74、某公司正在对一台关键业务效劳器进行风险评估,该效劳器价值138000元,针对某个特定威胁的暴露因子〔EF〕是45%该威胁的年度发生率〔AR.为每10年发生1次.根据以上信息,该效劳器的年度预期损失值〔ALE〕是多少？A1800元R62100元C、140000元D6210元75、以下哪些内容应包含在信息系统战略方案中？A、已规划的硬件采购的标准B、将来业务目标的分析C、开发工程的目标日期D信息系统不同的年度预算目标76、以下哪一个是对人员平安治理中“授权蔓延〞这概念的正确理解？A、外来人员在进行系统维护时没有收到足够的监控B、一个人拥有了不是其完成工作所必要的权限G敏感岗位和重要操作长期有一个人单独负责D员工由一个岗位变动到另一个岗位,累计越来越多的权限77、ISO27002中描述的11个信息平安治理限制领域不包括:D人力资源平安〔GB/T20988〕D人力资源平安〔GB/T20988〕,需要备用场地但不要求部78、依据国家标准?信息平安技术信息系统灾难恢复标准?署备用数据处理设备的是灾难恢复等级的第几级？A2B、3G4D579、以下哪一种备份方式再恢复时间上最快？A、增量备份B、差异备份C、完全备份80、计算机应急响应小组的简称是:ACERTBFIRSTGSANAD>CEAT81、为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征.A、统一而精确地的时间R全面覆盖系统资产C、包括访问源、访问目标和访问活动等重要信息D可以让系统的所有用户方便的读取82、依据国家标准?信息平安技术信息系统灾难恢复标准?〔GB/T20988〕,灾难恢复治理过程的主要步骤是灾难恢复需求分析,灾难恢复策略制定,灾难恢复预案制定和治理,其中灾难恢复策略实现不包括以下哪一项？A、分析业务功能R选择和建设灾难备份中央G实现灾备系统技术方案D实现灾备系统技术支持和维护水平83、在进行应用系统的的测试时,应尽可能预防使用包含个人隐私和其他敏感信息的实际生产系统中的数据,如果需要使用时.以下哪一项不是必须做的：A、测试系统应使用不低于生产关系的访问限制举措B、为测试系统中的数据部署完善的备份与恢复举措G在测试完成后立即去除测试系统中的所有敏感数据D部署审计举措,记录生产数据的拷贝和使用84、以下有关水平成熟度模型的说法错误的选项是：A、水平成熟度模型可以分为过程水平方案〔Continuous〕和组织水平方案〔Staged〕两类B、使用过程水平方案时,可以灵活选择评估和改良哪个或哪些过程域G使用组织机构成熟度方案时,每一个水平级别都对应一组已经定义好的过程域DSSE-CM牌一种属于组织水平方案〔Staged〕的针对系统平安工程的水平成熟度模型85、一个组织的系统平安水平成熟度到达哪个级别以后,就可以对组织层面的过程进行标准的定义？A2级一方案和跟踪B、3级一充分定义C、4级一量化限制D5级一持续改良86、以下哪项不是信息系统平安工程水平成熟度模型〔SSE-CMIM的主要过程：A、风险过程B、保证过程C、工程过程D评估过程87、SSE-CMW程过程区域中的风险过程包含哪些过程区域？A、评估威胁、评估脆弱性、评估影响B、评估威胁、评估脆弱性、评估平安风险C、评估威胁、评估脆弱性、评估影响、评估平安风险D评估威胁、评估脆弱性、评估影响、验证

和证实平安88、信息系统平安工程〔ISSE〕的一个重要目标就是在IT工程的各个阶段充分考虑平安因素,在IT工程的立项阶段,以下哪一项不是必须进行的工作：A、明确业务对信息平安的要求B、识别来自法律法规的平安要求C、论证平安要求是否正确完整D通过测试证实系统的功能和性能可以满足平安需求89、信息化建设和信息平安建设的关系应当是：A、信息化建设的结果就是信息平安建设的开始B、信息化建设和信息平安建设应同步规划、同步实施G信息化建设和信息平安建设是交替进行的,无法区分谁先谁后D以上说法都正确90、如果你作为甲方负责监管一个信息平安工程工程的实施,当乙方提出一项工程变更时你最应当关注的是：A、变更的流程是否符合预先的规定R变更是否会对工程进度造成拖延C、变更的原因和造成的影响D变更后是否进行了准确地记录91、以下哪项是对系统工程过程中“概念与需求定义〞阶段的信息平安工作的正确描述？A、应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统平安保证的考虑B、应充分调研信息平安技术开展情况和信息平安产品市场,选择最先进的平安解决方案和技术产品G应在将信息平安作为实施和开发人员的一项重要工作内容,提出平安开发的标准并切实落实D应详细规定系统验收测试中有关系统平安性测试的内容92、在进行应用系统的测试时,应尽可能预防使用包含个人隐私和其他敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必