CISP相关试题及答案集

1.人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于：AA.为了更好的完成组织机构的使命B.针对信息系统的攻击方式发生重大变化C.风险控制技术得到革命性的发展D.除了保密性，信息的完整性和可用性也引起了人们的关注2.《GB/T20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指：CA.对抗级B.防护级C.能力级D.监管级3.下面对信息安全特征和范畴的说法错误的是：CA.信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B.信息安全是一个动态的问题，他随着信息技术的发展普及，以及产业基础，用户认识、投入产出而发展C.信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D.信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4.美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术系统分为：BA.内网和外网两个部分B.本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C.用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D.信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分5.关于信息安全策略的说法中，下面说法正确的是：CA.信息安全策略的制定是以信息系统的规模为基础B.信息安全策略的制定是以信息系统的网络？？？C.信息安全策略是以信息系统风险管理为基础D.在信息系统尚未建设完成之前，无法确定信息安全策略6.下列对于信息安全保障深度防御模型的说法错误的是：CA.信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B.信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。C.信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系无关紧要D.信息安全技术方案：“从外而内、自下而上、形成端到端的防护能力”7.全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。“加快信息安全人才培训，增强全民信息安全意识”的指导精神，是以下哪一个国家政策文件提出的？AA.《国家信息化领导小组关于加强信息安全保障工作的意见》B.《信息安全等级保护管理办法》C.《中华人民共和国计算机信息系统安全保护条例》D.《关于加强政府信息系统安全和保密管理工作的通知》8.一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案？AA.公安部公共信息网络安全监察局及其各地相应部门B.国家计算机网络与信息安全管理中心C.互联网安全协会D.信息安全产业商会9.下列哪个不是《商用密码管理条例》规定的内容：DA.国家密码管理委员会及其办公室（简称密码管理机构）主管全国的商用密码管理工作B.商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理C.商用密码产品由国家密码管理机构许可的单位销售D.个人可以使用经国家密码管理机构认可之外的商用密码产品10.对涉密系统进行安全保密测评应当依据以下哪个标准？BA.BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》B.BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》C.GB17859-1999《计算机信息系统安全保护等级划分准则》D.GB/T20271-2006《信息安全技术信息系统统用安全技术要求》11.下面对于CC的“保护轮廓”（PP）的说法最准确的是：CA.对系统防护强度的描述B.对评估对象系统进行规范化的描述C.对一类TOE的安全需求，进行与技术实现无关的描述D.由一系列保证组件构成的包，可以代表预先定义的保证尺度12.关于ISO/IEC21827:2002(SSE-CMM)描述不正确的是：DA.SSE-CMM是关于信息安全建设工程实施方面的标准B.SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程C.SSE-CMM模型定义了一个安全工程应有的特征，这些特征是完善的安全工程的根本保证D.SSE-CMM是用于对信息系统的安全等级进行评估的标准13.下面哪个不是ISO27000系列包含的标准DA.《信息安全管理体系要求》B.《信息安全风险管理》C.《信息安全度量》D.《信息安全评估规范》14.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特征？AA.ITSECB.TCSECC.GB/T9387.2D.彩虹系列的橙皮书15.下面哪项不是《信息安全等级保护管理办法》（公通字【2007】43号）规定的内容DA.国家信息安全等级保护坚持自主定级、自主保护的原则B.国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查C.跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级D.第二级信息系统应当每年至少进行一次等级测评，第三级信息系统应当每？？？少进行一次等级测评16.触犯新刑法285条规定的非法侵入计算机系统罪可判处___A__。A.三年以下有期徒刑或拘役B.1000元罚款C.三年以上五年以下有期徒刑D.10000元罚款17.常见密码系统包含的元素是：CA.明文，密文，信道，加密算法，解密算法B.明文，摘要，信道，加密算法，解密算法C.明文，密文，密钥，加密算法，解密算法D.消息，密文，信道，加密算法，解密算法18.公钥密码算法和对称密码算法相比，在应用上的优势是：DA.密钥长度更长B.加密速度更快C.安全性更高D.密钥管理更方便19.以下哪一个密码学手段不需要共享密钥？BA.消息认证B.消息摘要C.加密解密D.数字签名20.下列哪种算法通常不被用户保证保密性？DA.AESB.RC4C.RSAD.MD521.数字签名应具有的性质不包括：CA.能够验证签名者B.能够认证被签名消息C.能够保护被签名的数据机密性D.签名必须能够由第三方验证22.认证中心（CA）的核心职责是__A___。A.签发和管理数字证书B.验证信息C.公布黑名单D.撤销用户的证书23.以下对于安全套接层（SSL）的说法正确的是：CA.主要是使用对称密钥体制和X.509数字证书技术保护信息传输的机密性和完整性B.可以在网络层建立VPNC.主要使用于点对点之间的信息传输，常用Webserver方式D.包含三个主要协议：AH,ESP,IKE24.下面对访问控制技术描述最准确的是：CA.保证系统资源的可靠性B.实现系统资源的可追查性C.防止对系统资源的非授权访问D.保证系统资源的可信性25.以下关于访问控制表和访问能力表的说法正确的是：DA.访问能力表表示每个客体可以被访问的主体及其权限B.访问控制表说明了每个主体可以访问的客体及权限C.访问控制表一般随主体一起保存D.访问能力表更容易实现访问权限的传递，但回收访问权限较困难26.下面哪一项访问控制模型使用安全标签（securitylabels）CA.自主访问控制B.非自主访问控制C.强制访问控制D.基于角色的访问控制27.某个客户的网络限制可以正常访问internet互联网，共有200台终端PC但此客户从ISP（互联网络服务提供商）里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问internet互联网最好采取什么办法或技术：BA.花更多的钱向ISP申请更多的IP地址B.在网络的出口路由器上做源NATC.在网络的出口路由器上做目的NATD.在网络出口处增加一定数量的路由器28.WAPI采用的是什么加密算法？AA.我国自主研发的公开密钥体制的椭圆曲线密码算法B.国际上通行的商用加密标准C.国家密码管理委员会办公室批准的流加密标准D.国际通行的哈希算法29.以下哪种无线加密标准的安全性最弱？AA.wepB.wpaC.wpa2D.wapi30.以下哪个不是防火墙具备的功能？DA.防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合B.它是不同网络（安全域）之间的唯一出入口C.能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流D.防止来源于内部的威胁和攻击31.桥接或透明模式是目前比较流行的防火墙部署方式，这种方式的优点不包括：DA.不需要对原有的网络配置进行修改B.性能比较高C.防火墙本身不容易受到攻击D.易于在防火墙上实现NAT32.有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件，这种机制称作：AA.异常检测B.特征检测C.差距分析D.对比分析33.在Unix系统中，/etc/service文件记录了什么内容？AA.记录一些常用的接口及其所提供的服务的对应关系B.决定inetd启动网络服务时，启动哪些服务C.定义了系统缺省运行级别，系统进入新运行级别需要做什么D.包含了系统的一些启动脚本34.以下哪个对windows系统日志的描述是错误的？DA.windows系统默认有三个日志，系统日志、应用程序日志、安全日志B.系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器的故障C.应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL（动态链接库）失败的信息D.安全日志跟踪各类网络入侵事件，例如拒绝服务攻击、口令暴力破解等35.在关系型数据库系统中通过“视图（view）”技术，可以实现以下哪一种安全原则？AA.纵深防御原则B.最小权限原则C.职责分离原则D.安全性与便利性平衡原则36.数据库事务日志的用途是什么？BA.事务处理B.数据恢复C.完整性约束D.保密性控制37.下面对于cookie的说法错误的是：DA.cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息B.cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C.通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D.防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法38.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行，这是哪种类型的漏洞？DA.缓冲区溢出B.SQL注入C.设计错误D.跨站脚本39.通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在？CA.明文形式存在B.服务器加密后的密文形式存在C.hash运算后的消息摘要值存在D.用户自己加密后的密文形式存在40.下列属于DDOS攻击的是：BA.Men-in-Middle攻击B.SYN洪水攻击C.TCP连接攻击D.SQL注入攻击41.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于哪一种攻击？DA.重放攻击B.Smurf攻击C.字典攻击D.中间人攻击42.渗透性测试的第一步是：A.信息收集B.漏洞分析与目标选定C.拒绝服务攻击D.尝试漏洞利用43.通过网页上的钓鱼攻击来获取密码的方式，实质上是一种：A.社会工程学攻击B.密码分析学C.旁路攻击D.暴力破解攻击44.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法？A.加强软件的安全需求分析，准确定义安全需求B.设计符合安全准则的功能、安全功能与安全策略C.规范开发的代码，符合安全编码规范D.编制详细软件安全使用手册，帮助设置良好的安全使用习惯45.根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中____确立安全解决方案的置信度并且把这样的置信度传递给客户。A.保证过程B.风险过程C.工程和保证过程D.安全工程过程46.下列哪项不是SSE-CMM模型中工