CISP试题及答案-7套题

1. 下面关于信息安全保障的说法正确的是：

A. 信息安全保障的概念是与信息安全的概念同时产生的 B. 信息系统安全保障要素包括信息的完整性、可用性和保密性

C. 信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D. 信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施

在系统的生命周期内确保信息的安全属性 2. 根据《 GB / T20274 信息安全保障评估框架》 ，对信息系统安全保障能力

进行评估应 A. 信息安全管理和信息安全技术2 个方面进行

B. 信息安全管理、信息安全技术和信息安全工程3 个方面进行 C. 信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D. 信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进

行 3. 哪一项不是《 GB / T20274 信息安全保障评估框架》 给出的信息安全保障

模 通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征 4. 对于信息安全发展历史描述正确的是：

A. 信息安全的概念是随着计算机技术的广泛应用而诞生的 B. 目前信息安全己经发展到计算机安全的阶段

C. 目前信息安全不仅仅关注信息技术，人们意识到组织、管理、工程过程和人

员同样是促进 系统安全性的重要因素 D. 我们可以将信息安全的发展阶段概括为，由“计算机安全”到“通信安全”，

再到“信息 安全”，直至现在的“信息安全保障” 5. ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务 A. 加密 B. 数字签名 C. 访问控制 D. 路由控制

6. 表示层

7. 以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用

性三项信息安全特性 A. ITSEC B. TCSEC C. GB/T9387.2 D. 彩虹系列的橙皮书

8. 下面对于CC 的“保护轮廓”( PP ）的说法最准确的是： A. 对系统防护强度的描述

B. 对评估对象系统进行规范化的描述

C. 对一类TOE 的安全需求，进行与技术实现无关的描述 D. 由一系列保证组件构成的包，可以代表预先定义的保证尺度 9. 以下哪一项属于动态的强制访问控制模型？ A. Bell一Lapudufa 模型 B. 10.

C. Strong star property 处于

D. Bell 一Lapadula 模型的访问规则主要是出于对保密性的保护而制定的 11. 下面对于强制访问控制的说法错误的是？

A 它可以用来实现完整性保护，也可以用来实现机密性保护 B 在强制访问控制的系统中，用户只能定义客体的安全属性 C 它在军方和政府等安全要求很高的地方应用较多 D 它的缺点是使用中的便利性比较低

12. 以下哪两个安全模型分别是多级完整性模型和多边保密模型？ A. Biba 模型和Bell一Lapadula 模型 B. Bell 一Lapaduia 模型和Biba 模型

C. Chinese Wall 模型和Bell 一Lapadula 模型 D. Biba 模型和Chinese Wall 模型

13. 在一个使用Chinese Wall 模型建立访问控制的信息系统中，数据W和数据

X在一个兴趣冲突域中，数据Y和数据Z在另一个兴趣冲突域中，那么可以确定一个新注册的用户： A. 只有访问了W之后，才可以访问X

B. 只有访问了W之后，才可以访问Y和Z中的一个 C. 无论是否访问W，都只能访问Y和Z中的一个 D. 无论是否访问W，都不能访问Y或Z 14. BMA访问控制模型是基于 A. 健康服务网络 B. ARPANET C. ISP D. INTERNET 15. 16.

证书持有者的公钥 证书颁发机构的签名 证书有效期

17. 下面关于密码算法的说法错误的是？ A. 分组密码又称作块加密 B. 流密码又称作序列密码 C. DES算法采用的是流密码

D. 序列密码每次加密一位或一个字节的明文

18. 下面对于SSH的说法错误的是？ A. SSH是Secure Shell的简称

B. 客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证 C. 通常Linux操作系统会在/usr/local目录下默认安装OpenSSH D. SSH2比SSH1更安全

19. 下面对于标识和鉴别的解释最准确的是：

A. 标识用于区别不同的用户，而鉴别用于验证用户身份的真实性 B. 标识用于区别不同的用户，而鉴别用于赋予用户权限

C. 标识用于保证用户信息的完整性，而鉴别用于验证用户身份的真实性 D. 标识用于保证用户信息的完整性，而鉴别用于赋予用户权限 20. 指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例： A. 你是什么 B. 你有什么 C. 你知道什么 D. 你做了什么

21. 安全审计是对系统活动和记录的独立检查和验证，以下哪一项不是审计系统

的 A. 辅助辨识和分析未经授权的活动或攻击 B. 对与己建立的安全策略的一致性进行核查 C. 及时阻断违反安全策略的访问 D. 帮助发现需要改进的安全控制措施

22. 下面哪一项不是通用IDS 模型的组成部分： A. 传感器 B. 过滤器 23.

24. 以下哪一项属于物理安全方面的管理控制措施？ A. 照明

B. 护柱 C. 培训

D. 建筑设施的材料

25. 以下哪种不是火灾探测器类型： A. 电离型烟传感器 B. 光电传感器 C. 声学震动探测系统 D. 温度传感器

26. 以下关于事故的征兆和预兆说法不正确的是： A. 预兆是事故可能在将来出现的标志

B. 征兆是事故可能己经发生或正在发生的标志

C. 预兆和征兆的来源包括网络和主机IDS 、防病毒软件、系统和网络日志 D. 所有事故的预兆和征兆都是可以发现的

27.组织机构应根据事故类型建立揭制策略，需要考虑以下几个因素，除了： A、实施策略需要的时间和资源 B、攻击者的动机 C、服务可用性 D、证据保留的时间

28、下面安全套接字层协议（SSL）的说法错误的是？

A、它是一种基于Web应用的安全协议 B、由于SSL是内嵌的浏览器中的，无需安全客户端软件，所以相对于IPSEC 更简 C、SSL与IPSec一样都工作在网络层

D、SSL可以提供身份认证、加密和完整性校验的功能

29、用来为网络中的主机自动分配IP地址、子网掩码、默认网关、wins服务器地址的网？

A、ARP B、IGMP C、ICMP D、DHCP 301 下面哪一项不是VPN协议标准：

A、L2TP B、ipsec C、TACACS+ D、PPTP 30、IPSEC的两种使用模式分别是_______和_____

C．数据的集中会降低风险的可控性 Ｄ. 数据的集中会造成风险的集中

65.管理者何时可以根据风险分析结果对已识别风险不采取措施

A．当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时 B．当风险减轻方法提高业务生产力时

C．当引起风险发生的情况不在部门控制范围之内时 D．不可接受

66.在风险评估中进行定量的后果分析时，如果采用年度风险损失值的方法进行计算，应当使用一下哪个公式？

A．SLE（单次损失预期值）x ARO（年度发生率） B．ARO（年度发生率）x EF(暴露因子)

C．SLE（单次损失预期值）x EF(暴露因子) x ARO（年度发生率） D．SLE（单次损失预期值）x ARO（年度发生率）—EF(暴露因子)

67风险管理的重点：

A．将风险降低到可以接受的程度 B．不计代价的降低风险 C．将风险转移给第三方 D．惩罚违反安全策略规定的雇员

68.风险评估按照评估者的不同可以分为自评估和第三方评估，这两种评估方式最本质的差别是什么？ A．评估结果的客观性 B．评估工具的专业程度 C．评估人员的技术能力 D．评估报告的形式

69.以下关于风险管理的描述不正确的是？

A．风险的四种控制方法有：减低风险/转嫁风险/规避风险/接受风险 B．信息安全风险管理是否成功在于发现是否切实被消除了

C．组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全

D．信息安全风险管理是基于可接受的成本，对影响信息系统的安全风险进行识别多少或消除的过程。

70.从风险分析的观点来看，计算机系统的最主要安全脆弱性存在于—— A．计算机内部处理 B．系统输入输出 C．网络和通讯 D．数据存储介质

71.以下选项中那一项是对信息安全风险采取的纠正机制? A．访问控制 B．入侵检测 C．灾难恢复 D．防病毒系统

72.下面哪一项最准确的阐述了安全检测措施和安全审计之间的区别？ A．审计措施不能自动执行，而检测措施可以自动执行 B．检测措施不能自动执行，而审计措施可以自动执行

C．审计措施是一次性的或周期性的进行，而检测措施是实时的进行 D．检测措施是一次性的或周期性的进行，而审计措施是实时的进行

73.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的： A．设置网络连接时限 B．记录并分析系统错误日志 C．记录并分析用户和管理员日志 D．时钟同步

74.信息分类是信息安全管理工作的重要环节，下面哪一项不是对信息进行分类时需要重点考虑的？ A．信息的价值 B．信息的时效性 C．信息的存储 D．法律法规的规定

75.下面关于ISO27002说法错误的是？ A．ISO27002前身是ISO17799—1

B．ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用，但不是全部

C．ISO27002对于每个控制措施的表述分：“控制措施、实施指南和其他信息”三个部分来进行描述

D．ISO27002提出了十一大类安全管理措施，其中风险评估和处置是处于核心地位的一类安全措施？

76.进行信息安全管理体系的建设是一个涉及企业文化，信息系统特点、法律法规限制等多方面因素的复杂过程，人们在这样的过程中总结了许多经验，下面哪一项是最不值得被赞同的。

A．成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持。 B．制定的信息安全管理措施应当与组织的文化环境相匹配 C．应该对ISO27002国际标准批判的参考，不能完全照搬

D．借助有经验的大型国际咨询公司，往往可以提高公司管理体系的执行效果

77.那一类防火墙具有根据传输信息的内容（如关键字、文件类型）来控制访问链接的能力？ A．包过滤防火墙 B．状态检测防火墙 C．应用网关防火墙 D．以上都不能

78下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令。 A．NMAP B．NLSOOKUP C．ICESWord D．X scan

53信安标委中哪个小组负责信息安全管理工作？ A、WG1 B、WG5 C、WG7

本文来源：https://www.bwwdw.com/article/4rdf.html