注册信息安全专业人员资质认证模拟考试(CISP)CISM-Key-知识点-03

1、信息安全发展各阶段是与信息技术发展阶段息息相关的，其中，信息安全保障阶段对应下面哪个信息技术发展阶段？网络化社会阶段

2、关于信息安全策略的说法中，下面哪种说法是正确的？信息安全策略是以信息系统风险管理为基础 3、信息系统安全保障要求包括哪些内容？信息系统技术安全保障要求、信息系统管理安全保障要求、信息系统工程安全保障要求

4、对信息系统而言，信息系统安全目标是——在信息系统安全特性和评估范围之间达成一致的基础：开发者和用户

5、信息安全保障强调安全是动态的安全，意味着：信息安全必须涵盖信息系统整个生命周期

6、什么是安全环境？A、组织机构内部相关的组织、业务、管理策略 B、所有的与信息系统安全相关的运行环境，如已知的物理部署、自然条件、建筑物等C、国家的法律法规、行业的政策、制度规范等 D、以上都是答案：D

7、以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点？以安全概念和关系为基础，将安全威胁和风险控制措施作为信息系统安全保障的基础和核心

8、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？提高信息技术产品的国产化率 9、PPDR模型不包括：D、加密

11、在能够实施被动攻击的前提下，通过对称密码算法进行安全消息传输的必要条件是： 通讯双方通过某种方式，安全且秘密地共享密钥 行会话密钥协商

15、时间戳的引入主要是为了防止：消息重放

16、以下对于IPsec协议说法正确的是：鉴别头（AH）协议，不能加密包的任何部分 18、证书中一般不包含以下内容中：签发者的公钥

19、下面哪一个情景属于身份鉴别（Aothentication）过程？用户依照系统提示输入用户名和口令 20、下面对于SSL工作过程的说法错误的是：通信双方的身份认证是通过记录协议实现的 25、一个VLAN可以看作是一个：广播域

27、UDP协议和TCP协议对应于ISO/OSI模型的哪一层？传输层 30、下面哪些协议不属于TCP/IP协议族网络层的协议？ 32、以下哪一项不是应用层防火墙的特点？ 种机制称作：异常检测

ARP

12、常用的混合加密（Hybrid Encryption）方案指的是：使用对称加密进行通信数据加密，使用公钥加密进

31、桥接或透明模式是目前比较流行的防火墙部署方式，这种方式的优点不包括：易于在防火墙上实现NAT

速度快且对用户透明

33、有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件，这37、下列对windows服务的说法错误的是：windows服务只有在用户成功登录系统后才能运行 38、在winNT系统中将用户态进程切换至核心态必须通过以下哪一项：会话管理器

39、在windows XP中用事件查看器查看日志文件，可看到的日志包括：应用程序日志、安全性日志、系统日志和IE日志

43、下面对于SSH的说法错误的是：客户端使用SSH连接远程登录SSH服务器必须经过基于公钥的身份认证

45、为了增强电子邮件的安全性，人们经常使用PGP，它是——一种基于RSA的邮件加密软件 47、微软的Office可能嵌入并执行：宏病毒

48、对于蠕虫病毒的说法错误的是：蠕虫的工作原理与病毒相似，除了没有感染文件阶段 49、下面关于计算机恶意代码发展趋势的说法错误的是:复合型病毒减少，而自我保护功能增强

50、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时，就会产生哪种类型的漏洞？代码注入

51、信息安全漏洞产生的必要条件是：安全缺陷 量溢出的数据覆盖在合法数据上

53、以下哪个不是计算机取证工作的作用？恢复数据降低损失

54、以下对于网络中欺骗攻击的描述哪个是不正确的？欺骗攻击是一种非常容易实现的攻击方式 55、以下哪个策略是对抗ARP欺骗有效地？使用静态的ARP缓存 57、DNS欺骗是发生在TCP/IP协议中——的问题：应用层

59、资产管理是信息安全管理的重要内容，而清楚的识别信息系统相关的资产，并编制资产清单是资产恶重要步骤，下面关于资产清单的说法错误的是：信息安全管理中所涉及的资产是指信息资产，即业务数据、合同协议、培训材料等

60、下列哪一项较好的描述了组织机构的安全策略？建议了如何符合标准

63、以下哪一个是对“职责分离”这一人员安全管理原则的正确理解？对重要的工作进行分解，分配给不同人员完成

65、下面哪个不是ISO 27000系列包含的标准《信息安全评估规范》

66、风险管理四个步骤的正确顺序是：背景建立、风险评估、风险处理、批准监督

67、关于信息安全应急响应的说法错误的是：作为一个单位的信息安全主管，在安全事件中主要任务是排除事件的负面影响，而取证和追查完全是执法机关的事情

68、以下哪一项在防止数据介质被滥用时是不推荐使用的方法？禁用主机的CD驱动、USB接口等I/O设备

72、对程序源代码进行访问控制管理时，以下哪一项做法是错误的？技术支持人员应该可以不受限制地访问源程序

73、以下哪一项是对信息系统经常不能满足用户需求的最好解释？用户参与需求挖掘不够

74、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。以下哪一种行为通常不是在这一阶段中发生的？认可安全控制措施

75、衡量残余安全风险应当考虑的因素为：威胁、脆弱性、资产价值、控制措施效果

76、《信息安全技术 信息安全风险评估规范 GB/T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是：设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求

77、信息化建设和信息安全建设的关系应当是：信息化建设和信息安全建设应同步规划、同步实施 78、根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中( )确立安全解决方案的置信度并且把这样的置信度传递给顾客。保证过程

79、下列哪些不是SSE-CMM中规定的系统安全工程过程类？ 资产

80、关于SSE-CMM的说法错误的是：“公共特征”是域维中队获得过程区目标的必要步骤的定义 81、项目管理是信息安全工程的基础理论，下列关于项目管理的理解正确的是：项目管理的基本要素是质量、进度和成本

82、在信息系统的设计阶段必须做以下工作除了：开发信息系统的运行维护手册

52、下列哪项内容描述的是缓冲区溢出漏洞？当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容

83、信息系统安全保障工程是一门跨学科的工程管理过程，它是基于对信息系统安全保障需求的发掘和对( 安全风险 )的理解，以经济、科学的方法来设计、开发和建设信息系统，以便它能满足用户安全保障需求的科学和艺术。

84、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑 85、关于信息安全监理过程中成本控制，下列说法中正确的是？成本控制的主要目的是在批注的预算条件

下确保项目保质按期完成

86、IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源，同时安全风险也越来越多地体现在应用层， 因此迫切需要加强对开发阶段的安全考虑，特别是要加强对数据安全性的考虑，以下哪项工作实在IT项目的开发阶段不需要重点考虑的安全因素？操作系统的安全加固

87、《刑法》第六章第285、286、287条对于计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行？国家重要信息系统管理者玩忽职守罪

88、我国规定商用密码产品的研发、制造、销售和使用采取专控管理，必须经过审批，所依据的是：商用密码管理条例

89、等级保护定级阶段主要包括哪两个步骤？系统识别与描述、等级确定

90、实施信息系统安全等级保护制度的一般工作流程是( )。定级-备案-建设整改-等级测评-监督检查 91、信息安全等级保护分级要求，第一级适用正确的是：适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，

92、TCSEC（橘皮书）中划分的7个安全等级中，A1级别是安全程度最高的安全等级。 93、CC是目前国际通行的信息技术产品安全性评估标准。

94、以下哪一项是用于CC的评估级别？EAL1，EAL2，EAL3,EAL4，EAL5，EAL6，EAL7

95、下面对ISO 27001的说法最准确的是：该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型

96、ISO 27002、ITIL和COBIT在IT管理内容上各有优势，但侧重点不同，其各自重点分别在于：IT安全控制、IT过程管理、IT控制和度量评价

98、触犯新刑法285条规定的非法侵入计算机系统罪可判处_三年以上五年以下有期徒刑

99、以下关于我国信息安全政策和法律法规的说法错误的是：2006年5月全国人大常委会审议通过了《中国人名共和国信息安全法》

100、下面关于CISP的知识体系大纲说法错误的是：使用知识类（PT）-知识体（BD）-知识域（KA）-知识子域（SA）来组织的组建模块化的知识体系结构

本文来源：https://www.bwwdw.com/article/oorv.html