2021年CISP练习题汇总.docx
《2021年CISP练习题汇总.docx》由会员分享,可在线阅读,更多相关《2021年CISP练习题汇总.docx(88页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、CISP习题汇总问题29在Windows系统中,存在默认共享功能,方便了局域网用户使用,但对个人用户来说存安全风险。如果电脑联网, 网络上的任何人都可以通过共享使用或修改文件。小刘在装有WindowsXP系统的计算机上进行安全设置时, 需要关闭默认共享。下列选项中,不能关闭默认共享的操作是()A.将“HKEY_LOCAL_MACHINESYSTEMCuirentControlSetServiceslenmanserverparaneters”项中依T Autodisconnect”项键值改为0B.将“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic
2、eslenmanserverparaneters”项中的“AutoShareServer”项键值改为0C.将“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslenmanserverparaneters”项中的“AutoShareWk 5项键值改为0D.在命令窗口中输入命令,删除C盘默认共享:netshareC/del正确答案:A .r.早节:(none)Ex planation说明/参考: 问题30从Linux内核2.1版开始,实现了基于权能的特权管理机制,实现了超级用户的特权分割,打破了UNIX/LINUX操作系统中超级用户/普通用户的概念
3、,提高了操作系统的安全性。下列选项中,对特权管理机制的 理解错误的是()A.普通用户及其shell没有任何权能,而超级用户及其shell在系统启动之初拥有全部权能B.系统管理员可以剥夺和恢复超级用户的某些权能C.进程可以放弃自己的某些权能D.当普通用户的某些操作涉及特权操作时,仍然通过setuid实现正确答案:B音节:(none)Explanation说明/参考: 问题31关于数据库恢复技术,下列说法不正确的是:A.数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利 用冗余数据来进行修复B.数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另
4、一个磁盘上保存起来,是数据库恢复中 采用的基本技术C.日志文件在数据库恢复中起着非常重要的作用,可以用来进行事物故障恢复和系统故障恢复,并协助后备副 本进行介质故障恢复D.计算机系统发生故障导致数据未存储到固定存储器上,利用日志文件中故障发生前数据的值,将数据库恢复 到故障发生前的完整状态,这一对事务的操作称为提交正确答案:D 音.节:(none)Ex planation说明/参考: 问题32关系数据库的完整性规则是数据库设计的重要内容,下面关于“实体完整性”的描述正确的是()早节:(none)Ex planation说明/参考:问题330规范的实施流程和文档管理,是信息安全风险评估能否取得成
5、果的重要基础。某单位在实施风险评估时,按照规 范形成了若干文档,其中,下面()中的文档应属于风险评估中“风险要素识别”阶段输出的文档。A.风险评估方案,主要包括本次风险评估的目的,范围.目标.评估步骤,经费预算和进度安排等内容B.风险评估方法和工具列表,主要包括拟用的风险评估方法和测试评估工具等内容C.风险评估准则要求,主要包括现有风险评估参考标准,采用的风险分析方法.资产分类标准等内容D.已有安全措施列表,主要包括经检查确认后的已有技术和管理各方面安全措施等内容正确答案:D章节:(none)Explanation说明/参考:问题331作为单位新上任的CSO,你组织了一次本单位的安全评估工作以
6、了解单位安全现状。在漏洞扫描报告中,你 发现了某部署在内网且对内部服务的业务系统存在一个漏洞,对比上一年度的漏洞扫描报告,发现这个漏洞之前已 经报告出来,经询问安全管理员得知,这个业务系统开发商已经倒闭,因此无法修复。对于这个问题,你应该如 何处理()A.向公司管理层提出此问题,要求立即立项重新开发此业务系统,避免单位中存在这样的安全风险B.既然此问题不是新发现的问题,之前已经存在,因此与自己无关,可以不予理会C.让安全管理人员重新评估此漏洞存在的安全风险并给出进一步的防护措施后再考虑如何处理D.让安全管理员找出验收材料看看有没有该业务系统源代码,自己修改解决这个漏洞正确答案:C节:(none
7、)Explanation说明/参考:问题332王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他依据已有的资产列表, 逐个分析可能危害这些资产的主体.冬季.途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋 值。请问,他这个工作属于下面哪一个阶段的工作()A.资产识别并赋值B.脆弱性识别并赋值C.威胁识别并赋值D.确认已有的安全措施并赋值正确答案:C早节:(none)Explanation说明/参考:问题333()第二十三条规定存储.处理国家秘密的就计算机信息系统(以下简称泄密信息系统)按照()实行分级保护。()应当按照国家保密标准配备保密设施.设
8、备。().设备应当与涉密信息系统同步规划.同步建设.同步运行(三同步)。涉密信息系统应当按照规定,经()后,方可投入使用。A.保密法:涉密程度;涉密信息系统;保密设施;检查合格B.国家保密法;涉密程度;涉密系统;保密设施;检查合格C.网络保密法;涉密程度;涉密系统;保密设施;检查合格D.安全保密法;涉密程度;涉密信息系统;保密设施;检查合格正确答案:AT:(none)Ex planation说明/参考:问题334Kerberos协议是常用的集中访问控制协议,通过可信第三方的认证服务,减轻应用服务器的负担。Kerberos的运行 环境由密钥分发中心(KDC).应用服务器和客户单三个部分组成。其中
9、,KDC分为认证服务AS和票据授权服务 器TGS两部分。下图展示了Kerberos协议的三个阶段,分别为(1) Kerberos获得服务许可票据,(2) Kerberos获得服务,(3) Kerberos获得票据许可票据。下列选项中,对这三个阶段的排序正确的是()SGT公话甯切由求枇务型据发f朋务KTGS(1) - (2) - (3)A. (3) - (2) - (1)(2) - (1) - (3)B. (3) - (1) - (2)正确答案:D章节:(none)Ex planation说明/参考:问题335企业安全架构(SherwoodAppliedBusinessSecurityArchi
10、tecture,SABSA)是企业架构的一个子集,它定义了(),包括各层级的().流程和规程,以及它们与整个企业的战略.战术和运营链接的方式,用全面的.严格 的方法描述了组成完整的信息安全管理体系(ISMS)所有组件的()o开发企业安全架构的很主要原因是 确保安全工作以一个标准化的节省成本的方式与业务实践相结合。架构在抽象层面工作,它提供了一个()o除了安全性之外,这种类型的架构让组织更好的实现().集成性,易用性,标准化和便于治理性。A.信息安全战略;解决方案;结构和行为;可供参考的框架;互操作性;B.信息安全战略;结构和行为;解决方案;可供参考的框架;互操作性; C.信息安全战略;解决方案
11、;可供参考的框架;结构和行为;互操作性; D.信息安全战略;可供参考的框架;解决方案;结构和行为;互操作性正确答案:B章节:(none)Explanation说明/参考: 问题336某贸易公司的0A系统由于存在系统漏洞,被攻击者上传了木马病毒病删除了系统中的数据,由于系统备份是每周 六进行一次,时间发生时间为周三,因此导致该公司三个工作日的数据丢失并使得0A系统在随后两天内无法访问, 影响到了与公司有业务往来部分公司业务。在事故处理报告中,根据GB/Z20986-2007信息安全事件分级分类 指南,该事件的标准分类和定级应该是()A.有害程序事件特别重大事件(I级)B.信息破坏事件重大事件(I
12、I级)C.有害程序事件较大事件(III级)D.信息破坏事件一般事件(IV级)正确答案:D章节:(none)Explanation说明/参考: 问题337在PDR模型的基础上发展成为(Policy-Protection-Detection-Response,PPDR)模型,即策略-防护检测-响 应。模型的核心是:所有的防护.检测.响应都是依据安全策略实施的。在PPDR模型中,策略指的是信息系统的 安全策略,包括访问控制策略.加密通信策略.身份认证策略.备份恢复策略等。策略体系的建立包括安全策略的 制定.()等;防护指的是通过部署和采用安全技术来提高网络的防护能力,如().防火墙,入侵检测.加密技
13、术. 身份认证等技术;检测指的是利用信息安全检测工具,监视,分析.审计网络活动,了解判断网络系统的O o检测这一环节,使安全防护从被动防护演进到主动防御,是整个模型动态性的体现。主要方法包括:实时监控. 检测.报警等;响应指的是在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的()调整到风险 最低的状态,包括饮复系统功能和数据,启动备份系统等。其主要方法包括:关闭服务.跟踪.反击.消除影响等A.评估与执行;访问控制;安全状态;安全性B.评估与执行;安全状态;访问控制;安全性C.访问控制;评估与执行;安全状态;安全性D.安全状态;评估与执行;访问控制;安全性正确答案:A章节:(none
14、)Explanation说明/参考: 问题338根据信息安全等级保护管理办法.关于开展信息安全等级保护测评体系建设试点工作的通知公信安 2009812号).关于推动信息安全等级保护()建设和开展()工作的通知(公信安2010303号)等文件,由公安 部()对等级保护测评机构管理才妾受测评机构的申请.考核和定期(),对不具备能力的测评机构则()0A.等级测评测评体系;等级保护评估中心;能力验证;取消授权 B.测评体系;等级保护评估中心;等级测评;能力验证;取消授权C.测评体系;等级测评;等级保护评估中心;能力验证;取消授权 D.测评体系;等级保护评估中心;能力验证;等级测评;取消授权正确答案:C
15、 早节:(none)Ex planation说明/参考: 问题339为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标 准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,()提出和规定了不同安全保护等级信息 系统的最低保护要求,并按照技术和管理两个方面提出了相关基本安全要求。A. GB/T22239-2008信息系统等级保护安全设计技术要求GB/T22240-2008信息系统安全保护等级定级指南B. GB/T25070-2010信息系统等级保护安全设计技术要求GB/T28449-2012信息系统安全等级保护测评过程指南正确答案:A 章T
16、:(none)Ex planation说明/参考: 问题340在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功实施非常重要,但是以下选项 中不属于管理者应有职责的是()A.制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求B.确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确,可度量,计划应具体.可实施C.向组织传达满足信息安全的重要性,传达满足信息安全要求.达成信息安全目标.符合信息安全方针.履行法 律责任和持续改进的重要性D.建立健全信息安全制度,明确安全风险管理作用,实施信息安全风险评估过程,确保信息安全风险评估技
17、术选择 合理.计算正确正确答案:D章节:(none)Explanation说明/参考: 问题341以下关于威胁建模流程步骤说法不正确的是()A.威胁建模主要流程包括四步:确定建模对象.识别威胁.评估威胁和消减威胁B.评估威胁是对威胁进行析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险C.消减威脉是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威 胁,或设计采用技术手段来消减威胁D.识别威胁是发现组件或进程存在的威胁,它可能是恶意的,也可能不是恶意的,威胁就是漏洞正确答案:D 章节:(none)Ex planation说明/参考:问题3
18、42有关系统安全工程能力成熟度模型(SSECMM),错误的理解是()A. SSE-CMM要求实施组织与其他组织相互作用,如开发.产品供应商,集成商和咨询服务商等SSE-CMM可以使安全工程成为一个确定的.成熟的和可度量的科目C.基于SSE-CMM的工程是独立工程,与软件工程.硬件工程,通信工程等分别规划实施D. SSECMM覆盖整个组织的活动。包括管理,组织和工程活动等,而不仅仅是系统安全的工程活动正确答案:CVr. 早 节:(none)Ex planation说明/参考: 问题343我国标准信息安全风险管理指南(CB/Z24364)给出了信息安全风险管理的内容和过程。可以用下图来表示, 图中
19、空白处应该填写()沟通咨询批准监督A.风险计算 B.风险评估 C.风险预测 D.风险处理正确答案:D ,立.早节:(none)Ex planation说明/参考: 问题344根据相关标准,信息安全风险管理可分为背景建立.风险评估.风险处理.批准监督.监控审查和沟通咨询等阶 段,按照该框架,文档风险分析报告应该属于那个阶段的输出成果()A.风险评估B.风险处理C.批准监督D.监控审查正确答案:D章节:(none)Explanation说明/参考:问题345根据关于开展信息安全风险评估工作的意见的规定,错误的是()A.信息安全风险评估分自评估.检查评估两形式,应以检查评估为主,自评估和检查评估相互
20、结合.互为补充B.信息安全风险评估工作要按照“严密组织.规范操作.讲求科学.注重实效,的原则开展C.信息安全风险评估应贯穿于网络和信息系统建设运行的全过程D.开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导正确答案:AT:(none)Ex planation说明/参考:问题346即使最好用的安全产品也存在(),结果,在任何的系统中敌手最终都能够找到一个被开发出的漏洞,一种有效 的对策是在敌手和它的目标之间配备多种()每一种机制都应包括()两种手段。A.安全机制;安全缺陷;保护和检测B.安全缺陷;安全机制;保护和检测C.安全缺陷;保护和检测;安全机制D.安全缺陷;安全机制;外边和内部
21、正确答案旧JStE. 早节:(none)Explanation说明/参考:问题347在国家标准,CB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型中,信 息系统安全保障模型包含哪几个方面?A.保障要素.生命周期和运行维护B.保障要素.生命周期和安全特征C.规划组织.生命周期和安全特征D.规划组织,生命周期和运行维护正确答案:B早节:(none)Ex planation说明/参考:问题348风险,在GB/T22081中定义为时态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务目标 .健康和人身安全目标.信息安全目标和环境目标等;目标也可能有不
22、同的级别,如战略目标,组织目标.项目目 标,产品目标和过程目标等。ISO/IEC13335-1中揭示了风险各要素关系模型,如图所示,请结合此图,怎么才能 降低风险对组织产生的影响?()A.B.C.D.组织应该根据风险建立响应的保护要求,通过构架防护措施降低风险对组织产生的影响;加强防护措施,降低风险;减少威胁和脆弱点,降低风险;减少资产降低风险。正确答案:AT:(none)Ex planation说明/参考:问题349有关危害国家秘密安全的行为的法律责任,正确的是()A.严重违反保密规定行为只要发生,无论是否产生泄密实际后果,都要依法追究责任;B.非法获取国家秘密,不会构成刑事犯罪,不需承担刑
23、事责任;C.过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任;D.承担了刑事责任,无需再承担行政责任和/或其他处分。正确答案:A早节:(none)Explanation说明/参考:问题350分布式拒绝服务(DistributedDenialofService,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起 来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。一般来说, DDoS攻击的主要目的是破坏目标系统的()A.保密性B.完整性C.可用性D.真实性正确答案:c 早节:(none)Ex planation说明/参考: 问题351部署互联网协议安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2021 CISP 练习题 汇总
限制150内