CISP试题及答案-一套题

CISP试题及答案-一套题

1.下面关于信息安全保障的说法错误的是：

A.信息安全保障的概念是与信息安全的概念同时产生的

B.信息系统安全保障要素包括信息的完整性，可用性和保密性

C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段

D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施各种保障要素，在系统的生命周期内确保信息的安全属性。

以下哪一项是数据完整性得到保护的例子？

A.某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作 B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作

C.某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作

D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看

注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？ A.通信安全 B.计算机安全 C.信息安全

D.信息安全保障

以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？

A.提高信息技术产品的国产化率 B.保证信息安全资金注入 C.加快信息安全人才培养

D.重视信息安全应急处理工作

以下关于置换密码的说法正确的是： A.明文根据密钥被不同的密文字母代替

B.明文字母不变，仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或 D.明文根据密钥作了移位

以下关于代替密码的说法正确的是： A.明文根据密钥被不同的密文字母代替

B.明文字母不变，仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或 D.明文根据密钥作了移位

7常见密码系统包含的元素是：

A.明文、密文、信道、加密算法、解密算法 B.明文、摘要、信道、加密算法、解密算 C.明文、密文、密钥、加密算法、解密算法 D.消息、密文、信道、加密算法、解密算法

8在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于____________________ A.明文 B.密文 C.密钥 D.信道

9PKI在验证一个数字证书时需要查看_________来确认该证书是否已经作废 A.ARL B.CSS C.KMS D.CRL

10、一项功能可以不由认证中心CA完成？ A.撤销和中止用户的证书 B.产生并分布CA的公钥

C.在请求实体和它的公钥间建立链接 D.发放并分发用户的证书

11、一项是虚拟专用网络（VPN）的安全功能？ A.验证，访问控制盒密码 B.隧道，防火墙和拨号 C.加密，鉴别和密钥管理 D.压缩，解密和密码

12、为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，列哪一项最好地描述了星或（*-）完整性原则？ A.Bell-LaPadula模型中的不允许向下写 B.Bell-LaPadula模型中的不允许向上度 C.Biba模型中的不允许向上写 D.Biba模型中的不允许向下读

13、下面哪一个情景属于身份鉴别（Authentication）过程？ A.用户依照系统提示输入用户名和口令

B.用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改

C.用户使用加密软件对自己编写的office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容

D.某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中

14、下列对Kerberos协议特点描述不正确的是：

A.协议采用单点登录技术，无法实现分布式网络环境下的认证 B.协议与授权机制相结合，支持双向的身份认证 C.只要用户拿到了TGT并且该TGT没有过期，就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码

D.AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全

15、TACACS+协议提供了下列哪一种访问控制机制？ A.强制访问控制 B.自主访问控制

C.分布式访问控制 D.集中式访问控制

16、下列对蜜网功能描述不正确的是：

A.可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击

B.吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来 C.可以进行攻击检测和实时报警

D.可以对攻击活动进行监视、检测和分析

17、下列对审计系统基本组成描述正确的是：

A.审计系统一般包括三个部分：日志记录、日志分析和日志处理 B.审计系统一般包含两个部分：日志记录和日志处理 C.审计系统一般包含两个部分：日志记录和日志分析

D.审计系统一般包含三个部分：日志记录、日志分析和日志报告

18、在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务？ A.加密 B.数字签名 C.访问控制 D.路由控制

19、在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务？ A.网络层 B.表示层 C会话层 D.物理层

20、WAPI采用的是什么加密算法？

A.我国自主研发的公开密钥体制的椭圆曲线密码算法 B.国际上通行的商用加密标准

C.国家密码管理委员会办公室批准的流加密标准 D.国际通行的哈希算法

21、通常在VLAN时，以下哪一项不是VLAN的规划方法？ A.基于交换机端口 B.基于网络层协议 C.基于MAC地址 D.基于数字证书

22、某个客户的网络现在可以正常访问Internet互联网，共有200台终端PC但此客户从ISP（互联网络服务提供商）里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问Internet互联网最好采取什么方法或技术： A、花更多的钱向ISP申请更多的IP地址 B、在网络的出口路由器上做源NAT C、在网络的出口路由器上做目的NAT D、在网络出口处增加一定数量的路由器

23、以下哪一个数据传输方式难以通过网络窃听获取信息？ A.FTP传输文件

B.TELNET进行远程管理

C.URL以HTTPS开头的网页内容

D.经过TACACS+认证和授权后建立的连接

24、桥接或透明模式是目前比较流行的防火墙部署方式，这种方式的优点不包括： A.不需要对原有的网络配置进行修改 B.性能比较高

C.防火墙本身不容易受到攻击 D.易于在防火墙上实现NAT

25、下面哪一项是对IDS的正确描述？

A、基于特征（Signature-based）的系统可以检测新的攻击类型

B、基于特征（Signature-based）的系统化基于行为（behavior-based）的系统产生更多的误报

C、基于行为（behavior-based）的系统维护状态数据库来与数据包和攻击相匹配

D、基于行为（behavior-based）的系统比基于特征（Signature-based）的系统有更高的误报 26、下列哪些选项不属于NIDS的常见技术？ A.协议分析 B.零拷贝 C.SYN Cookie

D.IP碎片重组

27、在UNIX系统中输入命令“IS-AL TEST”显示如下：“-rwxr-xr-x 3 root root 1024 Sep 13 11：58 test”对它的含义解释错误的是： A.这是一个文件，而不是目录

B.文件的拥有者可以对这个文件进行读、写和执行的操作 C.文件所属组的成员有可以读它，也可以执行它 D.其它所有用户只可以执行它

28、在Unix系统中，/etc/service文件记录了什么内容？ A、记录一些常用的接口及其所提供的服务的对应关系 B、决定inetd启动网络服务时，启动那些服务

C、定义了系统缺省运行级别，系统进入新运行级别需要做什么 D、包含了系统的一些启动脚本

29、以下对windows账号的描述，正确的是：

A、windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权限 B、windows系统是采用用户名来标识用户对文件或文件夹的权限

C、windows系统默认会生成administration和guest两个账号，两个账号都不允许改名和删除

D、windows系统默认生成administration和guest两个账号，两个账号都可以改名和删除 30、以下对于Windows系统的服务描述，正确的是： A、windows服务必须是一个独立的可执行程序 B、windows服务的运行不需要用户的交互登录

C、windows服务都是随系统的启动而启动，无需用户进行干预

D、windows服务都需要用户进行登录后，以登录用户的权限进行启动 31、以下哪一项不是IIS服务器支持的访问控制过滤类型？ A.网络地址访问控制 B.WEB服务器许可 C.NTFS许可

D.异常行为过滤 32、为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由3部分组成，以下哪一个不是完整性规则的内容？ A.完整性约束条件 B.完整性检查机制 C.完整性修复机制 D.违约处理机制

33、数据库事务日志的用途是什么？ A.事务处理 B.数据恢复 C.完整性约束 D.保密性控制

34、下列哪一项与数据库的安全有直接关系？ A.访问控制的粒度 B.数据库的大小

C.关系表中属性的数量 D.关系表中元组的数量

35、下面对于cookie的说法错误的是：

A、cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息 B、cookie可以存储一些敏感的用户信息，从而造成一定的安全风险

C、通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗

D、防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法 36、以下哪一项是和电子邮件系统无关的？ A、PEM B、PGP C、X500 D、X400 37、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是： A、httpd.conf B、srm.conf C、access.conf D、inetd.conf

38、Java安全模型（JSM）是在设计虚拟机（JVN）时，引入沙箱（sandbox）机制，其主要目的是：

A、为服务器提供针对恶意客户端代码的保护

B、为客户端程序提供针对用户输入恶意代码的保护 C、为用户提供针对恶意网络移动代码的保护 D、提供事件的可追查性

39、恶意代码采用加密技术的目的是： A.加密技术是恶意代码自身保护的重要机制 B.加密技术可以保证恶意代码不被发现 C.加密技术可以保证恶意代码不被破坏

79、有一些信息安全事件是由于信息系统中多个部分共同作用造成的，人们称这类事件为“多组件事故”，应对这类安全事件最有效的方法是：

A.配置网络入侵检测系统以检测某些类型的违法或误用行为 B.使用防病毒软件，并且保持更新为最新的病毒特征码 C.将所有公共访问的服务放在网络非军事区（DMZ） D.使用集中的日志审计工具和事件关联分析软件

80、依据国家标准《信息安全技术信息系统灾难恢复规范》（GB/T 20988），灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预制定和管理；其中灾难恢复策略实现不包括以下哪一项？ A.分析业务功能

B.选择和建设灾难备份中心 C.实现灾备系统技术方案

D.实现灾备系统技术支持和维护能力 81、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须作的： A.测试系统应使用不低于生产系统的访问控制措施 B.为测试系统中的数据部署完善的备份与恢复措施 C.在测试完成后立即清除测试系统中的所有敏感数据 D.部署审计措施，记录生产数据的拷贝和使用 82、下面有关能力成熟度模型的说法错误的是：

A.能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类 B.使用过程能力方案时，可以灵活选择评估和改进哪个或那些过程域

C.使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域 D.SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型 83、一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义？

A.2级——计划和跟踪 B.3级-——充分定义 C.4级——量化控制 D.5级——持续改进

84、下列哪项不是信息系统的安全工程的能力成熟度模型（SSE-CMM）的主要过程： A、风险评估 B、保证过程 C、工程过程 D、评估过程

85、SSE-CMM工程过程区域中的风险过程包含哪些过程区域： A.评估威胁、评估脆弱性、评估影响 B.评估威胁、评估脆弱性、评估安全风险

C.评估威胁、评估脆弱性、评估影响、评估安全风险 D.评估威胁、评估脆弱性、评估影响、验证和证实安全 86、信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作： A.明确业务对信息安全的要求 B.识别来自法律法规的安全要求

C.论证安全要求是否正确完整

D.通过测试证明系统的功能和性能可以满足安全要求 87、信息化建设和信息安全建设的关系应当是： A.信息化建设的结束就是信息安全建设的开始

B.信息化建设和信息安全建设应同步规划、同步实施

C.信息化建设和信息安全建设是交替进行的，无法区分谁先谁后 D.以上说法都正确 88、如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：

A.变更的流程是否符合预先的规定 B.变更是否会对项目进度造成拖延 C.变更的原因和造成的影响

D.变更后是否进行了准确的记录

89、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？ A.应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑

B.应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品

C.应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实

D.应详细规定系统验收测试中有关系统安全性测试的内容 90、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的： A.测试系统应使用不低于生产关系的访问控制措施 B.未测试系统中的数据部署完善的备份与恢复措施 C.在测试完成后立即清除测试系统中的所有敏感数据 D.部署审计措施，记录生产数据拷贝和使用

91、关于监理过程中成本控制，下列说法中正确的是？ A.成本只要不超过预计的收益即可 B.成本应控制得越低越好

C.成本控制由承建单位实现，监理单位只能记录实际开销

D.成本控制的主要目的是在批准的预算条件下确保项目保质按期完成 92、下列哪项不是安全管理方面的标准？ A.ISO 27001 B.ISO 13335 C.GB/T 22080 D.GB/T 18336

93、关于ISO/IEC21827:2002（SSE-CMM）描述不正确的是__________。 A.SSE-CMM是关于信息安全建设工程实施方面的标准

B.SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程

C.SSE-CMM模型定义了一个安全工程应有的特征，这些特征是完善的安全工程的根本保证 D.SSE-CMM是用于对信息系统的安全等级进行评估的标准

94《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行？

A. 非法侵入计算机信息系统罪 B. 破坏计算机信息系统罪 C. 利用计算机实施犯罪

D. 国家重要信息系统管理者玩忽职守罪 95、计算机取证的合法原则是：

A、计算机取证的目的是获取证据，因此首先必须确保证据获取再履行相关法律手续 B、计算机取证在任何时候都必须保证符合相关法律法规 C、计算机取证只能由执法机构才能执行，以确保其合法性

D、计算机取证必须获得执法机关的授权才可进行以确保合法性原则 96、对第三方服务进行安全管理时，以下说法正确的是： A、服务水平协议的签定可以免除系统安全管理者的责任

B、第三方服务的变更管理的对象包括第三方服务造成的系统变化和服务商贸的变化 C、服务水平协议的执行情况的监督，是服务方项目经理的职责，不是系统管理者的责任 D、安全加固的工作不能由第三方服务商进行

97、对涉密系统进行安全保密测评应当依据以下哪个标准？

A、BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B、BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C、GB17859-1999《计算机信息系统安全保护等级划分准则》 D、GB/T20271-2006《信息安全技术信息系统统用安全技术要求》 98、等级保护定级阶段主要包括哪2个步骤 A.系统识别与描述、等级确定 B.系统描述、等级确定 C.系统识别、系统描述

D.系统识别与描述、等级分级

99、以下哪一项是用于CC的评估级别？

A、EAL1，EAL2，EAL3,EAL4，EAL5，EAL6，EAL7 B、A1，B1，B2，B3，C2，C1，D C、E0，E1，E2，E3，E4，E5，E6

D、AD0，AD1，AD2，AD3，AD4，AD5，AD6

100、我国信息安全标准化技术委员会（TC260）目前下属6个工作组，其中负责信息安全管理的小组是： A、WG1 B、WG7 C、WG3 D、WG5

1 c 2 b 3 d 4 a 5 b 6 a 7 c 8 c

9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 d c c d a a d c d b c a d b c d d d d a c b d d b a c c a a a b d a d c d c c c a d c

53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 b c a b b d a a a a c c d b c a a c c b d b c a c a d a b d b a c d b c a b d d d d d b

97 b 98 a 99 a 100 b

本文来源：https://www.bwwdw.com/article/ou1g.html