cisp试题及答案

1. 以下对信息安全描述不正确的是

A.信息安全的基本要素包括保密性、完整性和可用性

B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性 C.信息安全就是不出安全事故/事件

D.信息安全不仅仅只考虑防止信息泄密就可以了 【答案】 C

2. 以下对信息安全管理的描述错误的是 A.保密性、完整性、可用性 B.抗抵赖性、可追溯性 C.真实性私密性可靠性 D.增值性 【答案】 D

3. 以下对信息安全管理的描述错误的是 A.信息安全管理的核心就是风险管理

B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性 C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂 D.信息安全管理工作的重点是信息系统，而不是人 【答案】 D

4. 企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是

A. 不需要全体员工的参入，只要ＩＴ部门的人员参入即可 B. 来自高级管理层的明确的支持和承诺

C.对企业员工提供必要的安全意识和技能的培训和教育

D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行

CISP培训模拟考试（二）

姓名： 单位： 1．FTP使用哪个TCP端口？ A．21 B.23 C.110 D.53

2.TACACS(终端访问控制器访问控制系统,AAA认证协议的一种？)使用哪个端口？ A．TCP 69 B.TCP 49 (TACACS+) C.UDP 69 D.UDP 49

3.LDAP使用哪个端口？（LDAP轻量目录访问协议，根据目录树的结构给予不同的员工组不同的权限）

A．TCP 139 B.TCP 119 C.UDP 139 D.UDP 389

4．FINGER服务使用哪个TCP端口？（Finger服务可用于查询用户的信息，包括网上成员的真实姓名、用户名、最近登录时间和地点等，要关闭） A．69 B.119 C.79 D.70

5．DNS 查询（queries）工具中的DNS服务使用哪个端口？ A．UDP 53 B.TCP 23 C.UDP 23 D.TCP 53

6．在零传输（Zone transfers）中DNS服务使用哪个端口？ A．TCP 53 B. UDP

1. 人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于: A.为了更好地完成组织机构的使命

B.针对信息系统的攻击方式发生重大变化 C.风险控制技术得到革命性的发展

D.除了保密性,信息的完整性和可用性也引起人们的关注 2. 信息安全保障的最终目标是: A.掌握系统的风险,制定正确的策略 B.确保系统的保密性、完整性和可用性

C.使系统的技术、管理、工程过程和人员等安全保障要素达到要求 D.保障信息系统实现组织机构的使命

3. 关于信息保障技术框架（IATF），下列哪种说法是错误的？ A．IATF强调深度防御（Defense-in-Depth）,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障；

B. IATF强调深度防御（Defense-in-Depth）,即对信息系统采用多层防护，实现组织的业务安全运作

C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全；

D. IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全

4. 依据国家标准GB/T20274《信息系统安全保障评估框架》，信息系统安全目标（ISST）

1. 下面关于信息安全保障的说法正确的是：

A. 信息安全保障的概念是与信息安全的概念同时产生的 B. 信息系统安全保障要素包括信息的完整性、可用性和保密性

C. 信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D. 信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施

在系统的生命周期内确保信息的安全属性 2. 根据《 GB / T20274 信息安全保障评估框架》 ，对信息系统安全保障能力

进行评估应 A. 信息安全管理和信息安全技术2 个方面进行

B. 信息安全管理、信息安全技术和信息安全工程3 个方面进行 C. 信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D. 信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进

行 3. 哪一项不是《 GB / T20274 信息安全保障评估框架》 给出的信息安全保障

模 通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征 4. 对于信息安全发展历史描述正确的是：

A. 信息安全的概念是随着计算机技术的广泛应用而诞生的 B. 目前信息安全己经发展到计算机安全的阶段

注册信息安全专业人员资质认证考试

CISP模拟考试

姓名 考试日期 身份证

声明：

（1） 本考卷题目知识产权属于中国信息安全产品测评认证中心，任

何人不可将考试题目泄露给他人，违者将追究其相关责任。 （2） 试卷答案请填写在答题卡，考试结束后，将此试卷与答题卡一

起上交，缺一无效。

（3） 本试卷均为单选题，请选择最恰当的一个答案作答。 （4）如有任何建议请e-mail: training@itsec.gov.cn

注册信息安全专业人员资质认证模拟考试（CISP）

1. 在橙皮书的概念中，信任是存在于以下哪一项中的？

A. B. C. D. 答案：A

备注：[标准和法规（TCSEC）]

操作系统 网络 数据库 应用程序系统

2. 下述攻击手段中不属于DOS攻击的是: （ ）

A. B. C. D.

Smurf攻击 Land攻击 Teardrop攻击 CGI溢出攻击

答案：D。 3.

“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为：（ ）

A. B. C. D.

“普密”、“商密” 两个级别 “低级”和“高级”

注册信息安全专业人员资质认证考试

CISP模拟考试

姓名 考试日期 身份证

声明：

（1） 本考卷题目知识产权属于中国信息安全产品测评认证中心，任

何人不可将考试题目泄露给他人，违者将追究其相关责任。 （2） 试卷答案请填写在答题卡，考试结束后，将此试卷与答题卡一

起上交，缺一无效。

（3） 本试卷均为单选题，请选择最恰当的一个答案作答。 （4）如有任何建议请e-mail: training@itsec.gov.cn

注册信息安全专业人员资质认证模拟考试（CISP）

1. 在橙皮书的概念中，信任是存在于以下哪一项中的？

A. B. C. D. 答案：A

备注：[标准和法规（TCSEC）]

操作系统 网络 数据库 应用程序系统

2. 下述攻击手段中不属于DOS攻击的是: （ ）

A. B. C. D.

Smurf攻击 Land攻击 Teardrop攻击 CGI溢出攻击

答案：D。 3.

“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为：（ ）

A. B. C. D.

“普密”、“商密” 两个级别 “低级”和“高级”

CISP试题及答案-一套题

1.下面关于信息安全保障的说法错误的是：

A.信息安全保障的概念是与信息安全的概念同时产生的

B.信息系统安全保障要素包括信息的完整性，可用性和保密性

C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段

D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施各种保障要素，在系统的生命周期内确保信息的安全属性。

以下哪一项是数据完整性得到保护的例子？

A.某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作 B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作

C.某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作

D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看

注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？ A.通信安全 B.计算机安全 C.信息安全

D.信息安全保障

以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？

A.提高信息技术产品的国产化率 B.保证信息安全资金注入 C.加快信息安全

1. 以下对信息安全描述不正确的是

A.信息安全的基本要素包括保密性、完整性和可用性

B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性 C.信息安全就是不出安全事故/事件

D.信息安全不仅仅只考虑防止信息泄密就可以了 【答案】 C

2. 以下对信息安全管理的描述错误的是 A.保密性、完整性、可用性 B.抗抵赖性、可追溯性 C.真实性私密性可靠性 D.增值性 【答案】 D

3. 以下对信息安全管理的描述错误的是 A.信息安全管理的核心就是风险管理

B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性 C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂 D.信息安全管理工作的重点是信息系统，而不是人 【答案】 D

4. 企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是

A. 不需要全体员工的参入，只要ＩＴ部门的人员参入即可 B. 来自高级管理层的明确的支持和承诺

C.对企业员工提供必要的安全意识和技能的培训和教育 D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行 【答案

13.8月cise考试题及答案

CISP真题及参考答案

1、信息安全发展各阶段中，下面哪一项是通信安全阶段主要面临的安全威胁？

A、病毒

B、非法访问

C、信息泄露

D、脆弱口令

答案：C。

2、信息安全保障强调安全是动态的安全，意味着：

A、信息安全是一个不确定的概念

B、信息安全是一个主观的概念

C、信息安全必须覆盖信息系统整个生命周期，随着安全风险的变化有针对性地进行调整

D、信息安全智能是保证信息在有限物理范围内的安全，无法保证整个信息系统的安全

答案：C。

3、关于信息保障技术框架（IATF），下列说法错误的是：

A、IATF强调深度防御，关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障；

B、IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作；

C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全；

D、IATF强调的是以安全监测、漏洞监测和自适应填充“安全问题”为循环来提高网络安全

13.8月cise考试题及答案

答案：D。

4、美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术信息分为：

A、内网和外网两个部分

B、本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分

CISP模拟题

1、 以下哪一项对安全风险的描述是准确的？C

A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。 B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。

C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性 D、安全风险是指资产的脆弱性被威胁利用的情形。 2、以下哪些不属于脆弱性范畴？A A、黑客攻击 B、操作系统漏洞 C、应用程序BUG D、人员的不良操作习惯

3、依据信息系统安全保障模型，以下那个不是安全保证对象?A A、机密性 B、管理 C、过程 D、人员

4、系统审计日志不包括以下哪一项？D A、时间戳 B、用户标识 C、对象标识 D、处理结果

5、TCP三次握手协议的第一步是发送一个：A A、SYN包 B、SCK包 C、UDP包 D、NULL包

6、以下指标可用来决定在应用系统中采取何种控制措施，除了 B A、系统中数据的重要性 B、采用网络监控软件的可行性

C、如果某具体行动或过程没有被有效控制，由此产生的风险等级 D、每个控制技术的效率，复杂性和花费

8、用户如果有熟练的技术技能且对程序有详尽的了解，就能