CISP模拟练习题答案

司1CISP模拟练习题（3）一、模型和保障体系信息安全保障体系信息安全模型信息安全测评认证1、以下哪些模型可以用来保护分级信息的机密性？ABiba模型和Bell－Lapadula模型；BBell－Lapadula模型和信息流模型；CBell－Lapadula模型和Clark－Wilson模型；DClark－Wilson模型和信息流模型答案：B参考：《理论和技术》P41-56多级安全模型：Bell－Lapadula模型（机密性），Clark－Wilson模型（完整性），Biba模型（完整性）多边安全模型：ChineseWall模型，BMA模型机密性模型：1、信息流模型（非干扰性，非观察性）；2、访问控制模型：MAC强制（BLP，ChineseWall），DAC自主，RBAC基于角色的访问控制完整性模型：Clark－Wilson模型，Biba模型2、在以下哪种安全模型中，系统的访问至少在最高层是安全的？A多级安全模型；BDedicated安全模型；CCompartmented安全模型；D受控模型答案：C3、给计算机系统的资产分配的记号被称为什么？A安全属性；B安全特征；C安全标记；D安全级别答案：C参考：《标准和法规》P85，安全标签，敏感性标签，敏感性标记司24、BMA模型是基于?答案：5、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？A必须是TAMPERPROOFB必须足够大C必须足够小D必须总在其中答案：B参考：《标准和法规》P86CC（15408-3）AreferencemonitorisanabstractmachinethatenforcestheaccesscontrolpoliciesofaTOE.Areferencevalidationmechanismisanimplementationofthereferencemonitorconceptthatpossessesthefollowingproperties:tamperproof,alwaysinvoked,andsimpleenoughtobesubjectedtothoroughanalysisandtesting.TheTSFmayconsistofareferencevalidationmechanismand/orothersecurityfunctionsnecessaryfortheoperationoftheTOE.二、标准和法律法规信息安全标准信息安全法律法规6、ITSEC标准不包括以下哪方面内容？A功能要求；B通用框架要求；C保证要求；D特定系统的安全要求答案：B参考：《标准和法规》P166，D是指“安全目标”司37、CTCPEC标准中，安全功能要求包括以下哪方面内容？A机密性要求；B完整性要求；C保证要求；D可用性要求；E可控性要求答案：A、B、D、E参考：《标准和法规》P1668、“保护轮廓”最早出现于哪一个标准？A国际标准ISO/IEC15408；B美国FC标准；C可信计算机系统评估准则TCSEC；D信息技术安全性评估准则ITSECE通用评估准则CC2.0答案：B参考：《标准和法规》P1669、桔皮书主要强调了信息的哪个属性？A完整性B机密性C可用性D有效性答案：B10、ITSEC的功能要求不包括以下哪方面内容？A机密性B完整性C可用性D有效性答案：D11、我国标准分为几级？级级级级答案：B参参考考：：《《标标准准和和法法规规》》PP3300：：国国家家标标准准，，行行业业标标准准，，地地方方标标准准，，企企业业标标准准司412、下面哪一个是国家推荐性标准？GB/T18020-1999应用级防火墙安全技术要求SJ/T30003-93电子计算机机房施工及验收规范GA243-2000计算机病毒防治产品评级准则ISO/IEC15408-1999信息技术安全性评估准则答案：A13、标准采用中的“idt”指的是？等效采用等同采用修改采用非等效采用答案：B参参考考：：《《标标准准和和法法规规》》PP1199：：iiddtt等等同同，，MMOODD修修改改，，NNEEQQ非非等等效效参考：《标准和法规》P19：14、著名的TCSEC是由下面哪个组织制定的？ISOIECCNITSEC美国国防部答案：D15、TCP/IP协议的4层概念模型是？应用层、传输层、网络层和网络接口层应用层、传输层、网络层和物理层应用层、数据链路层、网络层和网络接口层会话层、数据链路层、网络层和网络接口层答案：A参参考考：：《《理理论论和和技技术术》》PP7755，，《《标标准准和和法法规规》》PP440016、CC标准主要包括哪几个部分？简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南；简介和一般模型、安全功能要求、安全保证要求通用评估方法、安全功能要求、安全保证要求简介和一般模型、安全要求、PP和ST产生指南答案：B司517、CC中安全功能/保证要求的三层结构是（按照由大到小的顺序）？类、子类、元素组件、子类、元素类、子类、组件子类、组件、元素答案：C18、CC中的评估保证级（EAL）分为多少级？6级7级5级4级答案：B19、CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？对应TCSECB1级，对应ITSECE4级对应TCSECC2级，对应ITSECE4级对应TCSECB1级，对应ITSECE3级对应TCSECC2级，对应ITSECE3级答案：C参参考考：：《《标标准准和和法法规规》》PP116677，，PP118866：：注注意意规规律律，，先先对对应应IITTSSEECCEEAALL22：：CC11；；EE11EEAALL33：：CC22；；EE22EEAALL44：：BB11；；EE33EEAALL55：：BB22；；EE44EEAALL66：：BB33；；EE55EEAALL77：：AA11；；EE6620、PP中的安全需求不包括下面哪一个？（安全环境）有关环境的假设对资产的威胁组织安全策略IT保证安全要求答案：D司621、中国信息安全产品测评认证中心的四项业务是什么？A.产品测评认证；B.信息系统安全测评认证；C.信息系统安全服务资质认证；D.注册信息安全专业人员资质认证答案：ABCD22、信息技术安全标准化组织有哪些？ISO/IECITU答案：AB参考：《标准和法规》P7，P8，P16国际标准化组织：ISO（国际标准化组织）和IEC（国际电工委员会）ISO－InternationalOrganizationforStandardization（成立于1947年）IEC－InternationalElectricityCommitteeISO/IECJTC1：负责信息技术领域的国际标准的制定ISO/IECJTC1/SC27：专门从事通用信息技术安全技术和安全机制的标准的制定ISO/IECJTC1/SC6，SC17，SC18，SC21，SC22，SC30等6个分技术委员会：分别承担一部分信息技术安全标准的制定ISO/TC68：负责行业应用信息安全标准的制定ITU-T国际电信联盟的电信标准化部门，单独或与ISO/IEC联合制定标准其他：ISO/TC176：质量管理和质量保证技术委员会制定了ISO9000族标准23、我国的推荐性国家标准的写法是什么？答案：A24、我国的强制性国家标准的写法？答案：A司725、CC2.0对应的国际标准是什么？ISO/IEC15408-1999答案：A26、CC2.0对应的国家标准是什么？GB/T18336-2001答案：A27、关于PP，哪一个论述是正确的？A.是针对一类产品或系统，为既定的一系列安全对象提出功能和保证要求的完备集合，可复用集合，是对各种应用的抽象。B.一般由用户提出C.与实现无关D.对业务/商业拥有者、用户、开发者、评估者和审计者都有用答案：A,B,C,D参考：《标准与法规》P1801、针对一类产品或系统：为既定的一系列安全对象提出功能和保证要求的完备集合，可复用集合，对各种应用的抽象。2、一般由用户提出，类似招标书，需要什么（need），PP是用户要求的根本陈述，用户希望达到什么程度。3、与实现无关。（implementation-independent）4、对业务/商业拥有者、用户、开发者、评估者和审计者都有用28、关于ST，哪一个论述是正确的？针对特定TOE由开发者提供与实现无关与实现有关答案：ABD参参考考：：《《标标准准与与法法规规》》PP11880011、、针针对对特特定定TTOOEE，，如如WWiinnddoowwss22000000。。22、、由由开开发发者者提提供供，，类类似似投投标标书书，，提提供供什什么么（（pprroovviiddee））。。33、、与与实实现现有有关关。。（（iimmpplleemmeennttaattiioonn--ddeeppeennddeenntt））司829、CC标准的EAL4是什么？系统地测试和检查答案：A参参考考：：《《标标准准与与法法规规》》PP118844--11886630、我国标准分为几级？级级级级答案：B三、网络技术防火墙技术入侵检测技术密码技术PKI/CAVPN四、操作系统和数据库Windows安全管理Unix安全管理数据库安全管理恶意代码安全编程安全攻防网络与通信安全司931、OSI中哪一层不提供机密性服务？A表示层B传输层C网络层D会话层答案：D参参考考：：《《标标准准和和法法规规》》PP3388表表44--11有有错错误误，，《《理理论论和和技技术术》》PP6666，，表表44--22，，第第55层层，，会会话话层层不不提提供供安安全全服服务务32、下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一？数据完整性数据机密性公证抗抵赖答案：C参参考考：：《《理理论论和和技技术术》》PP5588，，《《标标准准和和法法规规》》PP338855种种安安全全服服务务：：鉴鉴别别服服务务、、访访问问控控制制、、数数据据完完整整性性、、数数据据保保密密性性、、抗抗抵抵赖赖33、测试数据库应用程序主要应对的风险是A非授权用户执行“ROLLBACK”命令；B非授权用户执行“COMMIT”命令；C非授权用户执行“ROLLFORWARD”命令；D非授权用户修改数据库中的行答案：D34、应用软件的正确测试顺序是什么？A集成测试、单元测试、系统测试、验收测试；B单元测试、系统测试、集成测试、验收测试；C验收测试、单元测试、集成测试、系统测试；D单元测试、集成测试、系统测试、验收测试答案：D35、有8个关系型数据库表格，每个表格有两行、三列，如果有20个用户对这8个表格进行只读访问，那么分配多少个安全授权即可保证表格级的安全要求？A160B320C960D480答案：A司1036、以下哪个安全特征和机制是SQL数据库所特有的？A标识和鉴别B交易管理C审计D故障承受机制答案：B37、SQL数据库使用以下哪种组件来保存真实的数据？ASchemas；BSubschemas；C表格；DViews答案：C38、关系型数据库技术的特征由以下哪些元素确定的？A行和列B节点和分支CBlocks和Arrows；D父类和子类答案：A39、分布式关系型数据库与集中式数据库相比有以下哪方面的缺点？AAutonomyB可靠性C灵活性D数据备份答案：D40、不属于数据库加密方式的是A库外加密；B库内加密；C硬件/软件加密；D专用加密中间件答案：D参参考考：：《《理理论论和和技技术术》》PP333399司1141、在数据库向因特网开放前，哪个步骤是可以忽略的？A安全安装和配置操作系统和数据库系统；B应用系统已经在内网试运行3个月；C对应用软件，如WEB页面、ASP脚本等进行安全性检查；D网络安全策略已经生效答案：B参考：外网试运行，放内网无意义42、在实际应用中，下面哪种加密形式既安全又方便？A选择性记录加密；B选择性字段加密；C数据表加密；D系统表加密答案：B参考：加密粒度越细，算法越