CISP全真模拟题1301

CISP全真模拟题（2）1、下列关于信息安全保障的说法错误的是：A．信息安全保障的问题就是安全的效用问题，在解决或预防信息安全问题时，要从资源、技术、管理的可行性和有效性做出权衡和取舍B．在信息系统生命周期中，从技术、管理、工程和人员等方面提出安全保障要求C．在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略D．信息安全保障的最终目标是要同时保障组织机构信息资产和信息系统资产参考答案：D2、按照技术能力、所拥有的资源和破环力来排列，下列威胁中哪种威胁最大？A．个人黑客B．网络犯罪团伙C．网络战士D．商业间谍参考答案：B3、信息安全发展各阶段中，下面哪一项是通信安全阶段主要面临的安全威胁？A．病毒B．非法访问C．信息泄露D．脆弱口令参考答案：C4、信息系统安全主要从哪几个方面进行评估？A．1个（技术）B．2个（技术、管理）C．3个（技术、管理、工程）D．4个（技术、管理、工程、应用）参考答案：C5、人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是由于：A．为了更好地完成组织机构的使命B．针对信息系统的攻击方式发生重大变化C．风险控制技术得到革命性的发展D．除了保密性，信息的完整性和可用性也引起了人们的关注参考答案：A6、以下关于信息系统安全保障是主观和客观的结合说法最准确的是：A．信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全B．通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C．是一种通过客观证据向信息系统评估者提供主观信心的活动D．是主观和客观综合评估的结果参考答案：B7、完整性机制可以防范以下哪种攻击？A．假冒源地址或用户的地址的欺骗攻击B．抵赖做过信息的递交行为C．数据传输中被窃听获取D．数据传输中被篡改或破环参考答案：D8、依据国家标准GB/T20274《信息系统安全保障评估框架》，信息系统安全目标（ISST）是从信息系统安全保障____的角度来描述的信息系统安全保障方案。A．建设者B．所有者C．评估者D．制定者参考答案：A9、P2DR模型相比PDR，增加了动态适应的特点，这是因为：A．策略（Policy）是基于人的决定，而人的思想是变化最快的因素，因此，P2DR模型就具备了动态特征B．策略是与风险相对应的，而风险是动态变化的，策略需要根据风险的动态变化而调整，因此，P2DR模型就具备了动态特征C．在现实情况中，需要不断调整和改善防护措施，使之逐步接近策略的要求，因此，P2DR模型就具备了动态特征D．以上说法都不对参考答案：B，理解：安全具有动态性。安全的概念是相对的，任何一个系统都具有潜在的危险，没有绝对的安全，安全程度随着时间的变化而改变。在一个特定的时期内，在一定的安全策略下，系统是安全的。但是随着时间的演化和环境的变迁（如攻击技术的进步、新漏洞的暴露），系统可能会变的不安全。因此需要适应变化的环境并能做出相应的调整以确保安全防护。10、依据国家标准GB/T20274《信息系统安全保障评估框架》，在信息系统安全目标中，评估对象包括哪些内容？A．信息系统管理体系、技术体系、业务体系B．信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程C．信息系统安全管理、信息系统安全技术和信息系统安全工程D．信息系统组织结构、管理制度、资产参考答案：B11、我国信息安全标准化技术委员会（TC260）目前下属6个工作组，其中负责信息安全管理的小组是：A.WG1B.WG7C.WG3D.WG5参考答案：B12、美国国防部公布的《可信计算机系统评估准则》（TCSEC）把计算机系统的安全分为个大的等级。A．3B．4C．5D．6参考答案：B13、以下对确定信息系统的安全保护等级理解正确的是：A．信息系统的安全保护等级是信息系统的客观属性B．确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施C．确定信息系统的安全保护等级时应考虑风险评估的结果D．确定信息系统的安全保护等级时应仅考虑业务信息的安全性参考答案：A14、依据GB/T24364-2009《信息安全技术信息安全应急响应计划规范》，应急响应方法论的响应过程的第二步是A.准备B.确认C.遏制D.根除参考答案：B15、下列信息安全相应的标准中是信息安全管理体系标准而不是主要用于对信息系统本身进行安全评价的标准。A．TCSEC（橘皮书）B．信息技术安全评估准则ITSECC．信息技术安全评估通用标准CCD．ISO/IEC27000参考答案：D16、是目前国际通行的信息技术产品安全性评估标准A．TCSECB．ITSECC．CCD．IATF参考答案：C17、下列哪项不是《信息安全等级保护管理办法》（公通字[2007]43号）规定的内容？A.国家信息安全等级保护坚持自主定级、自主保护的原则B.国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查C.跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级D.涉及国家秘密的信息系统不进行分等级保护参考答案：D18、下面有关我信息安全管理体制的说法错误的是A.目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面B.我国的信息安全保障工作综合利用法律、管理和技术的手段C.我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针D.我国对于信息安全责任的原则是谁主管、谁负责；谁经营、谁负责参考答案：C19、以下哪一项不是我国与信息安全有关的国家法律？A.《信息安全等级保护管理办法》B.《中华人民共和国保守国家秘密法》C.《中华人民共和国刑法》D.《中华人民共和国国家安全法》参考答案：A20、目前我国形成了相关部门各司其职、相互配合，综合利用法律、管理和技术手段，共同维护国家信息安全的一个多方“齐抓共管”的信息安全管理体系。“相关部门”不包括：A.工业和信息化部B.新闻办C.国家保密局D.安监局参考答案：D21、下面哪一项不是注册信息安全专业人员（CISP）职业准则的规定?A.必须诚实，公正，负责，守法B.必须勤奋和胜任工作，提高专业能力和水平C.对中国信息安全测评中心（CNITSEC）针对注册信息安全专业人员（CISP）而进行的调查应给予充分的合作D.在本单位负责的信息系统出现重大安全问题时必须向有关用户进行解释参考答案：D22、通过对称密码算法进行安全消息传输的必要条件是：A．在安全的传输信道上进行通信B．通讯双方通过某种方式，安全且秘密地共享密钥C．通讯双方使用不公开的加密算法D．通讯双方将传输的信息夹杂在无用信息中传输并提取参考答案：B23、以下哪些问题或概念不是公钥密码体制中经常使用到的困难问题？A．大整数分解B．离散对数问题C．背包问题D．伪随机数发生器参考答案：D，说明：背包问题，即：选择不同价格、不同体积的物品放置于一个背包中，要求价格总量最大。24、常用的混合加密（HybridEncryption）方案指的是：A．使用对称加密进行通信数据加密，使用公钥加密进行会话密钥协商B．使用公钥加密进行通信数据加密，使用对称加密进行会话密钥协商C．少量数据使用公钥加密，大量数据则使用对称加密D．大量数据使用公钥加密，少量数据则使用对称加密参考答案：A25、以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?A．DSSB．Diffie-HellmanC．RSAD．AES参考答案：C26、下列哪一项不是hash算法的特点？A．对于一个很长的消息，可以通过一个很短的摘要进行校验B．通过摘要本身，在计算可行性意义下难以得到原始的消息C．两个消息即使差别很小，其hash值也会发生很大改变D．通过hash值可以判定消息是否来自某特定的创建者参考答案：D27、数字签名技术主要应用哈希函数算法和非对称密钥算法，这两种算法的主要作用是：A．前者用来检验数据是否被篡改，后者用来确认数据发送方的身份B．前者用来对数据进行加密，后者用来对数据进行解密C．前者保证数据的抗抵赖性，后者用来保证数据的完整性D．前者用来建立加密通道，后者用来进行身份鉴别参考答案：A28、数字证书的功能不包括：A．加密B．数字签名C．身份认证D．消息摘要参考答案：D29、下列哪一项功能可以不由认证中心CA完成？A．撤消和中止用户的证书B．产生并分发CA的公钥C．在请求实体和它的公钥间建立链接D．发放并分发用户的证书参考答案：C30、SSL协议包括四个子协议，其中哪一个子协议提供消息源认证、数据加密以及数据完整服务？A．SSL握手协议B．更改密码规格协议C．SSL记录协议层D．警告协议参考答案：C，理解：SSL记录协议为SSL连接提供了两种服务:一是机密性,二是消息完整性。为了实现这两种服务,SSL记录协议对接收的数据和被接收的数据工作过程是如何实现的呢?SSL记录协议接收传输的应用报文,将数据分片成可管理的块,进行数据压缩(可选),应用MAC,接着利用IDEA、DES、3DES或其他加密算法进行数据加密,最后增加由内容类型、主要版本、次要版本和压缩长度组成的首部。被接收的数据刚好与接收数据工作过程相反,依次被解密、验证、解压缩和重新装配,然后交给更高级用户31、IPSec协议的AH子协议不能提供下列哪一项服务？A．数据源认证B．数据包重放C．访问控制D．机密性参考答案：D32、下面对访问控制技术描述最准确的是：A．保证系统资源的可靠性B．实现系统资源的可追查性C．防止对系统资源的非授权访问D．保证系统资源的可信性参考答案：C33、下列对自主访问控制说法不正确的是：A．自主访问控制允许客体决定主体对该客体的访问权限B．自主访问控制具有较好的灵活性和可扩展性C．自主访问控制可以方便地调整安全策略D．自主访问控制安全性不高，常用于商业系统参考答案：A34、自主访问控制与强制访问控制相比具有以下哪一个优点？A．具有较高的安全性B．控制粒度较大C．配置效率不高D．具有较强的灵活性参考答案：D35、以下关于BLP模型规则说法不正确的是：A．BLP模型主要包括简单安全规则和*-规则B．*-规则可以简单表述为向下写C．主体可以读客体，当且仅当主体的安全级可以支配客体的安全级，且主体对该客体具有自主型读权限D．主体可以写客体，当且仅当客体的安全级可以支配主体的安全级，且主体对客体具有自主型写权限参考答案：B36、在一个使用ChineseWall模型建立访问控制的信息系统中，数据W和数据X在一个兴趣冲突域中，数据Y和数据Z在另一个信息兴趣冲突域中，那么可以确定一个新注册的用户：A．只有访问了W之后，才可以访问XB．只有访问了W之后，才可以访问Y和Z中的一个C．无论是否访问W，都只能访问Y和Z中的一个D．无论是否访问W，都不能访问Y或Z参考答案：C37、以下关于RBAC模型的说法正确的是：A．该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限。B．一个用户必须扮演并激活某种角色，才能对一个对象进行访问或执行某种操作C．在该模型中，每个用户只能有一个角色D．在该模型中，权限与用户关联，用户与角色关联参考答案：B38、下列对Kerberos协议描述正确的是：A．该协议使用非对称密钥加密机制B．密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成C．该协议完成身份鉴别后将获取用户票据许可票据D．使用该协议不需要时钟基本同步的环境参考答案：C39、遵守相同访问控制策略的集合被称为？A．访问控制列表B．安全域C．可信计算基（TCB）D．访问主体参考答案：B40、一个较为可靠的鉴别系统一般是由以下哪几部分组成：A．验证者、被验证者和中间人B．验证者、被验证者和可信赖方C．验证者和被验证者D．验证者、被验证者和鉴别方参考答案：B41、下列对蜜网关键技术描述不正确的是：A．数据捕获技术能够检测并审计黑客攻击的所有行为数据B．数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图C．通过数据控制能够确保黑客不能利