CISP模拟考试100题及标准答案(最新整理)
CISP模拟考试100题及答案(最新整理)
1、在参考监视器概念中,⼀个参考监视器不需要符合以下哪个设计要求?BA必须是TAMPERPROOFB必须⾜够⼤C必须⾜够⼩D必须总在其中
2、CTCPEC标准中,安全功能要求包括以下哪⽅⾯内容?ABDEA机密性要求B完整性要求;C保证要求;D可⽤性要求;E可控性要求
3、TCP/IP协议的4层概念模型是?AA.应⽤层、传输层、⽹络层和⽹络接⼝层B.应⽤层、传输层、⽹络层和物理层
C.应⽤层、数据链路层、⽹络层和⽹络接⼝层D.会话层、数据链路层、⽹络层和⽹络接⼝层
4、中国信息安全产品测评认证中⼼的四项业务是什么?ABCDA.产品测评认证;B.信息系统安全测评认证;C.信息系统安全服务资质认证;D.注册信息安全专业⼈员资质认证
5、以下哪⼀项对安全风险的描述是准确的?C
A、安全风险是指⼀种特定脆弱性利⽤⼀种或⼀组威胁造成组织的资产损失或损害的可能性。B、安全风险是指⼀种特定的威胁利⽤⼀种或⼀组脆弱性造成组织的资产损失事实。
C、安全风险是指⼀种特定的威胁利⽤⼀种或⼀组脆弱性造成组织的资产损失或损害的可能性D、安全风险是指资产的脆弱性被威胁利⽤的情形。6、以下哪些不属于脆弱性范畴?AA、⿊客攻击B、操作系统漏洞C、应⽤程序BUGD、⼈员的不良操作习惯
7、依据信息系统安全保障模型,以下那个不是安全保证对象AA、机密性
B、管理C、过程D、⼈员
8、系统审计⽇志不包括以下哪⼀项?DA、时间戳B、⽤户标识C、对象标识D、处理结果
9、TCP三次握⼿协议的第⼀步是发送⼀个:AA、SYN包B、SCK包C、UDP包D、NULL包
10、以下指标可⽤来决定在应⽤系统中采取何种控制措施,除了()BA、系统中数据的重要性B、采⽤⽹络监控软件的可⾏性
C、如果某具体⾏动或过程没有被有效控制,由此产⽣的风险等级D、每个控制技术的效率,复杂性和花费
11、⽤户如果有熟练的技术技能且对程序有详尽的了解,就能巧妙的避过安全性程序,对⽣产程序做出更改。为防⽌这种可能,要增强:B
A、⼯作处理报告的复查
B、⽣产程序于被单独控制的副本之间的⽐较C、周期性测试数据的运⾏D、恰当的责任分割
12、我国的强制性国家标准的写法?AA、GB
13、OSI中哪⼀层不提供机密性服务?DA、表⽰层B、传输层C、⽹络层
D、会话层
14、程序安全对应⽤安全有很⼤的影响,因此安全编程的⼀个重要环节。⽤软件⼯程的⽅法编制程序是保证安全的根本。在程序设计阶段,推荐使⽤的⽅法有:A
a建⽴完整的与安全相关的程序⽂件b严格控制程序库c正确选⽤程序开发⼯具d制定适当的程序访问控制A. a、b、c、dB. a、b、cC. b、c、dD. b、c
15、Chinese Wall模型的设计宗旨是:A
A、⽤户只能访问那些与已经拥有的信息不冲突的信息B、⽤户可以访问所有的信息
C、⽤户可以访问所有已经选择的信息D、⽤户不可以访问那些没有选择的信息
16、对不同的⾝份鉴别⽅法所提供的按防⽌重⽤攻击从⼤到⼩:CA、仅⽤⼝令,⼝令及个⼈识别号(PIN),⼝令响应,⼀次性⼝令B、⼝令及个⼈识别号(PIN),⼝令响应,⼀次性⼝令,仅由⼝令C、⼝令响应,⼀次性⼝令,⼝令及个⼈识别号(PIN),仅有⼝令D、⼝令响应,⼝令及个⼈识别号(PIN),⼀次性⼝令,仅有⼝令17、下⾯那个协议在TCP/IP协议的低层起作⽤?BA、SSLB、SKIPC、S-HTTPD、S-PPC
18、UDP端⼝扫描的依据是:A
A、根据扫描对放开房端⼝返回的信息判断B、根据扫描对⽅关闭端⼝返回的信息判断C、综合考虑A和B的情况进⾏判断D、既不根据A也不根据B
19、企业内部互联⽹可以建⽴在企业内部⽹络上或是互联⽹上。以下哪⼀项控制机制是最不合适于在互联⽹上建⽴⼀个安全企业内部互联⽹的?BA、⽤户信道加密B、安装加密的路由器C、安装加密的防⽕墙
D、在私有的⽹络服务器上实现密码控制机制
20、以下的危险情况哪⼀个不适与数字签名和随机数字有关的?DA、伪装
B、重复攻击C、密码威胁D、拒绝服务
21、安全标志和访问控制策略是由下⾯哪⼀个访问控制制度所⽀持的?DA、基于⾝份的制度B、基于⾝份认证的制度C、⽤户指导制度D、强制访问控制制度
22、以下哪个安全特征和机制是SQL数据库所特有的?BA、标识和鉴别B、交易管理C、审计
D、故障承受机制
23、下⾯有关IPSec的描述中错误的是?A
A、IETF中的IPSEC标准夭折在⽤户和设备之间建⽴⼀个加密通道B、VPN设备常常不能符合IPSEC标准
24、“中华⼈民共和国保守国家秘密法”第⼆章规定了国家秘密的范围和密级,国家秘密的密级分为:CA、普密、商密两个级别B、低级和⾼级两个级别C、绝密、机密、秘密三个级别D、⼀密、⼆密、三密、四密四个级别
25、除了对访问、处理、程序变更和其他功能进⾏控制外,为保障系统的安全需要仍需要建⽴信息审计追踪。在⼀个⽤来记录⾮法的系统访问尝试的审计追踪⽇志中,⼀般不会包括下列哪项信息?DA、授权⽤户列表
B、事件或交易尝试的类型C、进⾏尝试的终端D、被获取的数据
26、帧中继和X.25⽹络是以下哪个选项的⼀部分?CA、电路交换服务B、单元交换服务C、分组交换服务D、专⽤数字服务
27、在分布式开放系统的环境中,以下哪个选项的数据库访问服务提供允许或禁⽌访问的能⼒?CA、对话管理服务B、事务管理服务C、资源管理服务
D、控制管理服务
28、为了阻⽌⽹络假冒,最好的⽅法是:CA、回拨技术B、⽂件加密
C、回拨技术加上数据加密D、拨号转移技术
29、以下哪⼀项不能适应特洛伊⽊马的攻击?BA、强制访问控制B、⾃主访问控制C、逻辑访问控制D、访问控制表
30、以下哪⼀种⼈给公司带来最⼤的安全风险?DA、临时⼯B、咨询⼈员C、以前员⼯D、当前员⼯
31、⼀个公司经常修正其⽣产过程。从⽽造成对处理程序可能会伴随⼀些改动。下列哪项功能可以确保这些改动的影响处理过程,保证它们对系统的影响风险最⼩?BA、安全管理B、变更控制C、问题追踪D、问题升级程序
32、应⽤软件测试的正确顺序是:D
A、集成测试,单元测试,系统测试,交付测试B、单元测试,系统测试,集成测试,交付测试C、交付测试,单元测试,集成测试,系统测试D、单元测试,集成测试,系统测试,交付测试33、哪个TCP/IP指令会得出下⾯结果?AInterface:199.102.30.152
Internet Address Physical Address Type 199.102.30.152 Ao-ee-oo-5b-oe-ac dynamicA、ARPB、NetstatC、TracertD、Nbtstat
34、哪个TCP/IP协议能够表明域⾥哪台是邮件服务器?DA、FTP
B、nslookupC、tracertD、Telnet
35、SMTPl连接服务器使⽤端⼝BA、21B、25
36、数据库管理系统DBMS 主要由哪两⼤部分组成?CA、⽂件管理器和查询处理器B、事务处理器和存储管理器C、存储管理器和查询处理器D、⽂件管理器和存储管理器
37、SQL语⾔可以在宿主语⾔中使⽤,也可以独⽴地交互式使⽤。BA、寄宿B、嵌⼊C、混合D、并⾏
38、下列为对称加密算法的例⼦为AA、RijndaelB、RSA
C、Diffie-HellmanD、Knapsack
39、下⾯哪种不是WINDOWS 2000安装后默认有的共享?DA、C$B、Ipc$C、Admin$D、Systemroot$
40、在WINDOWS 2000系统中,⽤什么命令或⼯具可以看到系统上开放的端⼝和进程的对应关系?CA、NETSTATB、NET USEC、FPORTD、URLSCAN
41、为尽量防⽌通过浏览⽹页感染恶意代码,下列做法中错误的是:DA、不使⽤IE浏览器,⽽使⽤Opera之类的第三⽅浏览器。B、关闭IE浏览器的⾃动下载功能。C、禁⽤IE浏览器的活动脚本功能。
D、先把⽹页保存到本地再浏览。
42、下列关于病毒和蠕⾍的说法正确的是:BA、红⾊代码(CodeRed)是病毒。B、Nimda是蠕⾍。
C、CIH病毒可以感染WINDOWS 98 也可以感染WINDOWS 2000.D、世界上最早的病毒是⼩球病毒。43、下列为⾮对称加密算法的例⼦为DA、IDEAB、DESC、3DES
D、ELLIPTOC CURVE
44、为了有效的完成⼯作,信息系统安全部门员⼯最需要以下哪⼀项技能?DA、⼈际关系技能B、⼯程管理技能C、技术技能D、沟通技能
45、保护轮廓(PP)是下⾯哪⼀⽅提出的安全要求?CA、评估⽅B、开发⽅C、⽤户⽅D、制定标准⽅
46、在执⾏风险分析的时候,预期年度损失(ALE)的计算是:CA、全部损失乘以发⽣频率B、全部损失费⽤=实际替代费⽤C、单次预期损失乘以发⽣频率D、资产价值乘以发⽣频率
47、有三种基本的鉴别的⽅式:你知道什么,你有什么,以及:CA、你需要什么B、你看到什么C、你是什么D、你做什么
48、以下哪个选项不是信息中⼼(IC)⼯作职能的⼀部分?AA、准备最终⽤户的预算B、选择PC的硬件和软件
C、保持所有PC的硬件和软件的清单
D、提供被认可的硬件和软件的技术⽀持
49、在最近⼀次⼯资数据更新之后,⼀个未经授权的员⼯从公司的计算机中⼼得到了打印的公司数据表,为保证只有经授权的员⼯才能得到敏感的打印数据,控制⼿段包括⽇志和:AA、有控制地销毁作废的打印数据B、接收⼈的签名确认
C、对磁盘上的打印输出⽂件进⾏访问控制D、敏感打印数据的强制过期⽇期50、下⾯哪⼀个是国家推荐性标准?A
A、GB/T 18020-1999 应⽤级防⽕墙安全技术要求B、SJ/T 30003-93 电⼦计算机机房施⼯及验收规范C、GA 243-2000 计算机病毒防治产品评级准则D、ISO/IEC 15408-1999 信息技术安全性评估准则
51、为了确定⾃从上次合法的程序更新后程序是否被⾮法改变过,信息系统安全审核员可以采⽤的审计技术是:AA、代码⽐照B、代码检查C、测试运⾏⽇期D、分析检查
52、在WINDOWS 2000系统中,哪个进程是IIS服务的进程?AA、Inetinfo.exeB、Lsass.exeC、Mstask.exeD、Internat.exe
53、下⾯哪⼀个⽤于电⼦邮件的鉴别和机密性? CA、数字签名B、IPSEC AHC、PGPD、MD4
54、在某个攻击中,⼊侵者通过由系统⽤户或系统管理员主动泄漏的可以访问系统资源的信息,获得系统访问权限的⾏为被称作:AA、社会⼯程B、⾮法窃取C、电⼦欺骗D、电⼦窃听
55、CC的⼀般模型基于:AA、风险管理模型B、Bell lapadula模型
C、PDCA模型D、PDR模型
56、ITSEC中的E1-E5对应TCSEC中哪⼏个级别?ACA、D到B2B、C2到B3C、C1到B3D、C2到A1
57、事件响应⽅法学定义了安全事件处理的流程,这个流程的顺序是:CA、准备-抑制-检测-根除-恢复-跟进B、准备-检测-抑制-恢复-根除-跟进C、准备-检测-抑制-根除-恢复-跟进D、准备-抑制-根除-检测-恢复-跟进
58、PDR模型中,下⾯哪个措施不属于防护(P)措施:CA、物理门禁B、防⽕墙C、⼊侵检测D、加密
59、CC中的评估保证级(EAL)4级涵义是:CA、结构测试级B、⽅法测试和校验级
C、系统的设计、测试和评审级D、半形式化设计和测试级
60、以下哪⼀项是已经被确认了的具有⼀定合理性的风险?CA、总风险B、最⼩化风险C、可接受风险D、残余风险
61、随着全球信息化的发展,信息安全成了⽹络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中⼼正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证⼯作的错误认识是:D
A、测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估、认证⼀系列环节。
B、认证公告将在⼀些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。C、对信息安全产品的测评认证制度是我国按照WTO规则建⽴的技术壁垒的管理。D、通过测试认证达到中⼼认证标准的安全产品或系统完全消除了安全风险。62、下列哪⼀项是磁介质上信息擦除的最彻底形式?DA、格式化
B、消磁C、删除D、破坏
63、如果你刚收到⼀封你同事转发过来的电⼦邮件,警告你出现了⼀个可怕的新病毒,你会先做下⾯哪件事情?DA、将这个消息传给你认识的每个⼈B、⽤⼀个可信赖的信息源验证这个消息C、将你的计算机从⽹络上连接D、升级你的病毒库
、当备份⼀个应⽤程序系统的数据时,以下哪⼀项是应该⾸先考虑的关键性问题?DA、什么时候进⾏备份?B、在哪⾥进⾏备份。C、怎样存储备份D、需要备份哪些数据
65、职责分离是信息安全管理的⼀个基本概念。其关键是权⼒不能过分集中在某⼀个⼈⼿中。职责分离的⽬的是确保没有单独的⼈员(单独进⾏操作)可以对应⽤程序系统特征或控制功能进⾏破坏。当以下哪⼀类⼈员访问安全系统软件的时候,会造成对“职责分离”原则的违背?DA、数据安全管理员B、数据安全分析员C、系统审核员D、系统程序员
66、与RSA(Rivest,Shamir,Adleman)算法相⽐,DSS(Digital Signature Standard)不包括:CA、数字签名B、鉴别机制C、加密机制D、数据完整性
67、以下哪⼀种模型⽤来对分级信息的保密性提供保护?BA、Biba模型和Bell-LaPadula模型B、Bell-LaPadul模型和信息流模型C、Bell-LaPadula模型和Clark-wilson 模型D、Clark-wilson模型和信息流模型
68.责任机制对于实现安全性策略是很重要的,从系统⽤户来说,下列哪⼀个在严格的责任机制中的作⽤最⼩?BA、审计要求B、密码
C、⾝份签别控制D、授权控制
69、下⾯哪⼀项不是⼀个公开密钥基础设施(PKI)的正常的部件?B
A、数字签名B、对称加密密钥C、CA中⼼D、密钥管理协议
70、以下有关单⽅向HASH函数和加密算法的叙述中,正确的是:AA、它们都将⼀个明⽂转化为⾮智能的密⽂B、它们都是可逆的C、它们都不会破坏信息D、它们都使⽤密钥
71、⼀般由系统所有者上级单位或主管信息安全的机构授权信息系统投⼊运⾏的最后⼀步叫做:DA.、正式发布B、认证C、验证D、认可
72、依据信息系统安全保障模型,划分安全保障等级要考虑的因素不包括下⾯哪⼀⽅⾯:DA、系统信息的密级B、系统的价值C、系统要对抗的威胁D、系统的技术构成
73、在Biba模型中,完整性威胁来源于⼦系统的:BA.、内部B、外部C、内部或外部D、既⾮内部也⾮外部
74、通常使⽤——来实现抗抵赖CA、加密B、时间戳C、签名D、数字指纹
75、关于RA的功能下列说法正确的是——BA、验证申请者的⾝份
B、提供⽬录服务,可以查寻⽤户证书的相关信息C、证书更新D、证书发放
76、从分析⽅法上⼊侵检测分为哪两种类型B
A、异常检测、⽹络检测B、误⽤检测、异常检测C、主机检测、⽹络检测D、⽹络检测、误⽤检测
77、⼀个可以对任意长度的报⽂进⾏加密和解密的加密算法称为:DA、链路加密B、批量加密C、端对端加密D、流加密
78、你所属的机构为了保护⼀些重要的信息需要⼀个系统范围内的访问控制软件,在对这类软件产品的评价过程中,哪⼀条是最重要的原则?DA、需要保护什么样的信息B、信息是如何被保护的C、为保护信息预计投⼊多少
D、如果信息不能被保护将造成的损失
79、下列选项中的哪⼀个可以⽤来减少⼀个虚拟专⽤⽹(VPN)由于使⽤加密⽽导致的系统性能的降低?BA、数字证书B、隧道化C、远程访问软件D、数字签名
80、系统的安全策略和审查记录使得机构管理者能够确保⽤户对其⾃⾝的⾏为负责。为了使⽤系统记录,是安全策略发挥作⽤,下⾯哪⼀项是⾸要必需的?CA、物理访问控制B、环境控制C、管理控制D、逻辑访问控制
81、下⾯哪⼀个短语能⽤来描述包含在⼀个应⽤程序中⼀系列指令中的恶意代码,例如⼀个字处理程序或表格制作软件?BA、主引导区病毒B、宏病毒C、⽊马D、脚本病毒
82、以下哪⼀项不是防⽕墙系统的主要组成部分:DA、过滤协议B、应⽤⽹关C、扩展⽇志功能D、数据包交换
83、对于数据分类和对应⽤程序按照敏感性进⾏分类,以下哪⼀项说法是正确的?CA、数据分类和应⽤程序分类是相同的
B、在数据分类和应⽤程序分类中有清晰的划分观点C、对不同的机构,数据分类和应⽤程序分类是不同的D、使⽤简单数据分类和应⽤程序分类⽐较容易84、机构应该把信息系统安全看作:CA、业务中⼼B、风险中⼼C、业务促进因素D、业务抑制因素
85、谁应该承担决定信息系统资源所需的保护级别的主要责任?BA、信息系统安全专家B、业务主管C、安全主管D、系统审查员
86、对在⼀个机构中的信息系统安全部门来说,⼀个重要且关键的⼯作特点是:BA、组织化的回报机制B、落实信息系统安全责任制C、对信息系统安全提供技术协助D、来⾃其它部门的⽀持
87、下⾯哪⼀种风险对电⼦商务系统来说是特殊不常见的? DA、服务中断B、应⽤程序系统欺骗C、未授权的信息漏洞D、确认信息发送错误
88、令牌(Tokens),智能卡及⽣物检测设备⽤于识别和鉴别,依据是以下哪个原则?BA、多⽅鉴别原则B、双因素原则C、强制性鉴别原则D、⾃主性鉴别原则
、下⾯哪个是私有(private)IP地址?AA、172.23.0.1B、172.33.0.1C、193.0.4.7D、226.135.0.1
90、下⾯哪种通信协议可以利⽤IPSEC的安全功能?DⅠ.TCP Ⅱ.UDP Ⅲ.FTPA、只有ⅠB、Ⅰ和ⅡC、Ⅱ和ⅢD、ⅠⅡⅢ
91、下⾯对跟踪审计功能的描述哪项是正确的?DA、审计跟踪不需要周期性复查。
B、实时审计可以在问题发⽣时进⾏阻⽌。
C、对⼀次事件的审计跟踪记录只需包括事件类型和发⽣时间。
D、审计是记录⽤户使⽤计算机⽹络系统进⾏的所有活动过程,它是提⾼安全的重要⼯具。92、不属于数据库加密⽅式的是DA、库外加密B、库内加密C、硬件/软件加密D、专⽤加密中间件
93、在实际应⽤中,下⾯哪种加密形式既安全⼜⽅便?BA、选择性记录加密B、选择性字段加密C、数据表加密D、系统表加密
94、某种防⽕墙的缺点是没有办法从细微之处来分析数据包,但它的优点是⾮常快,这种防⽕墙是以下哪种?DA、电路级⽹关;B、应⽤级⽹关;C、会话层防⽕墙;D、包过滤防⽕墙
95、密码学包括哪两个相互对⽴的分⽀BA、对称加密与⾮对称加密B、密码编码学与密码分析学C、序列算法与分组算法D、DES和RSA
96、DES的密钥长度是多少bit?BA、B、56C、512D.、8
97、IDEA的密钥长度是多少bit ?DA、56B、C、96D、128
98、以下哪种加密⽅式在节点处需要解密?BA、节点加密B、链路加密C、端到端加密D、应⽤层加密
99、MD5产⽣的散列值是多少位?CA、56B、C、128D、160
100、SHA-1产⽣的散列值是多少位?DA、56B、C、128D、160
