CISP考试.2016年专用题库.资料大全.doc
《CISP考试.2016年专用题库.资料大全.doc》由会员分享,可在线阅读,更多相关《CISP考试.2016年专用题库.资料大全.doc(42页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、1美国的关键信息基础设施(critical Information Infrastructure,CII)包 括商用核 设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医 疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础 设施信息安全,其主要原因不包括: A这些行业都关系到国计民生,对经济运行和国家安全影响深远 B这些行业都是信息化应用广泛的领域 C.这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比 其他行业更突出 D这些行业发生信息安全事件,会造成广泛而严重的损失 2关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确: A2001-20
2、02 年是启动阶段,标志性事件是成立了网络与信息安全协调小组, 该机构是我国信息安全保障工作的最高领导机构 B2003-2005 年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件 关于加强信息安全保障工作的意见(中办发27 号文件)并颁布了国家信息安 全战略 C2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取 得圆满成功& D2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项 信息安全保障工作迈出了坚实步伐 3依据国家标准/T20274信息系统安全保障评估框架,信息系统安全目标 (ISST)中,安全保障目的指的是: A、信息系统安全保障目的 B
3、、环境安全保障目的 C、信息系统安全保障目的和环境安全保障目的 D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程 安全保障目的 4以下哪一项是数据完整性得到保护的例子? A某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户 可以完成操作 B在提款过程中ATM 终端发生故障,银行业务系统及时对该用户的账户余额进 行了冲正操作& C某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机 进行了什么操作 D李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的 商业间谍无法查看 5.公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计
4、安全保障方 案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不 需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争 议。下面说法哪个是错误的: A.乙对信息安全不重视,低估了黑客能力,不舍得花钱& B甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费 C甲未充分考虑网游网站的业务与政府网站业务的区别 D乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求6进入21 世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定 并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略 的内容也各不相同,以下说法不正确的是: A与国
5、家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重 点 B美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理 职能由不同政府部门的多个机构共同承担 C各国普遍重视信息安全事件的应急响应和处理 D在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发 挥政府与企业之间的合作关系 7与PDR 模型相比,P2DR 模型多了哪一个环节? A防护 B检测 C反应 D.策略& 8以下关于项目的含义,理解错误的是: A项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人 而提供独特的产品、服务或成果而进行的一次性努力。 B.项目有明确的开始日期,结束日期
6、由项目的领导者根据项目进度来随机确定。 & C项目资源指完成项目所需要的人、财、物等。 D项目目标要遵守SMART 原则,即项目的目标要求具体(Specific)、可测量 (Measurable)、需相关方的一致同意(Agree to)、现实(Realistic)、有一定 的时限(Time-oriented) 92008 年1 月2 日,美目发布第54 号总统令,建立国家网络安全综合计划 (Comprehensive National Cybersecurity Initiative,CNCI)。CNCI 计划建 立三道防线:第一道防线,减少 漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁
7、;第三道防线,强化 未来安全环境从以上内容,我们可以看出以下哪种分析是正确的: ACNCI 是以风险为核心,三道防线首要的任务是降低其网络所面临的风险 B.从CNCI 可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部 的 CCNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状,而 不是在现在的网络基础上修修补补 DCNCI 彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息 安全保障重点,而是追求所有网络和系统的全面安全保障& 10下列对于信息安全保障深度防御模型的说法错误的是: A信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组 成部分,
8、因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环 境制约下。 B信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息 安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程 中,我们需要采用信息系统工程的方法来建设信息系统。 C信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分。 D信息安全技术方案:“从外而内、自下而上、形成边界到端的防护能力”。 11如图,某用户通过账号、密码和验证码成功登录某银行的个人网银系统, 此过程属于以下哪一类:A个人网银系统和用户之间的双向鉴别 B由可信第三方完成的用户身份鉴别 C.个
9、人网银系统对用户身份的单向鉴别* D用户对个人网银系统合法性的单向鉴别 12如下图所示,Alice 用Bob 的密钥加密明文,将密文发送给Bob。Bob 再用 自己的私钥解密,恢复出明文。以下说法正确的是:A此密码体制为对称密码体制B此密码体制为私钥密码体制 C此密码体制为单钥密码体制 D此密码体制为公钥密码体制& 13下列哪一种方法属于基于实体“所有”鉴别方法: A用户通过自己设置的口令登录系统,完成身份鉴别 B用户使用个人指纹,通过指纹识别系统的身份鉴别 C用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身 份鉴别 D.用户使用集成电路卡(如智能卡)完成身份鉴别& 14为防
10、范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使 用“智能卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴 别方法? A.实体“所知”以及实体“所有”的鉴别方法& B实体“所有”以及实体“特征”的鉴别方法 C实体“所知”以及实体“特征”的鉴别方法 D实体“所有”以及实体“行为”的鉴别方法 15某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评 机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前, 项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需 要提出渗透性测试相比源代码测试、 模糊测试的优势给领导做决策,以下哪条是渗
11、透性测试的优势? A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产 生的漏洞& B渗透测试是用软件代替人工的一种测试方法,因此测试效率更高 C渗透测试使用人工进行测试,不依赖软件,因此测试更准确 D渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多 16软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法 哪个是错误的? A告诉用户需要收集什么数据及搜集到的数据会如何披使用 B当用户的数据由于某种原因要被使用时,给用户选择是否允许 C用户提交的用户名和密码属于稳私数据,其它都不是& D确保数据的使用符合国家、地方、行业的相关法律法规 17软件安全保障的思
12、想是在软件的全生命周期中贯彻风险管理的思想,在有 限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要 关注过度防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全 保障思想的是: A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审 相关费用,确保安全经费得到落实& B在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时 发现架构设计中存在的安全不足 C确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法, 确保开发人员编写出安全的代码 D在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗 透测试,未经以上
13、测试的软件不允许上线运行18以下哪一项不是工作在网络第二层的隧道协议: A.VTP& BL2F CPPTP DL2TP 19如圈所示,主体S 对客体01 有读(R)权限,对客体02 有读(R)、写(W)、拥 有(Own)权限,该图所示的访问控制实现方法是:A访问控制表(ACL) B访问控制矩阵 C.能力表(CL)& D前缀表(Profiles) 20以下场景描述了基于角色的访问控制模型(Role-based Access ControlRBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗 位、职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工 作职责的用户。关于RB
14、AC 模型,下列说法错误的是: A当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权 范围内,访问请求将被拒绝 B业务系统中的岗位、职位或者分工,可对应RBAC 模型中的角色 C通过角色,可实现对信息资源访问的控制 D.RBAC 模型不能实现多级安全中的访问控制& 21下面哪一项不是虚拟专用网络(VPN)协议标准: A第二层隧道协议(L2TP) BInternet 安全性(IPSEC) C.终端访问控制器访问控制系统(TACACS+)& D点对点隧道协议(PPTP) 22下列对网络认证协议(Kerberos)描述正确的是: A该协议使用非对称密钥加密机制 B密钥分发中心由认证服
15、务器、票据授权服务器和客户机三个部分组成 C该协议完成身份鉴别后将获取用户票据许可票据 D使用该协议不需要时钟基本同步的环境&23鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你 所知道的: A口令 B令牌& C知识 D密码 24在ISO 的OSI 安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全 服务? A加密 B.数字签名& C访问控制 D路由控制 25某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System,IDS) 产品,需要购买防火墙,以下做法应当优先考虑的是: A选购当前技术最先进的防火墙即可 B选购任意一款品牌防火墙 C任意选购一
16、款价格合适的防火墙产品 D选购一款同已有安全产品联动的防火墙& 26在OSI 参考模型中有7 个层次,提供了相应的安全服务来加强信息系统的 安全性,以下哪一层提供了保密性、身份鉴别、数据完整性服务? A.网络层& B表示层 C会话层 D物理层 27某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门 主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软 件安全设计中的哪项原则? A.最小权限 B.权限分离& C不信任 D纵深防御 28以下关于互联网协议安全(Internet Protocol Security,IPsec)协议说法 错误的是: A在传送模式中,保护的
17、是IP 负载 B验证头协议(Authentication Head,AH)和IP 封装安全载荷协议 (EncapsulatingSecurity Payload,ESP)都能以传输模式和隧道模式工作 c在隧道模式中,保护的是整个互联网协议(Internet Protocol,IP)包,包 括IP 头 D.IPsec 仅能保证传输数据的可认证性和保密性& 29某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站 所面临的威胁,STRIDE 是微软SDL 中提出的威胁建模方法,将威胁分为六类, 为每一类威胁提供了标准的消减措施,Spoofing 是STRIDE 中欺骗类的威胁, 以下威
18、胁中哪个可以归入此类威胁? A网站竞争对手可能雇佣攻击者实施DDoS 攻击,降低网站访问速度B网站使用http 协议进行浏览等操作,未对数据进行加密,可能导致用户传 输信息泄露,例如购买的商品金额等 C网站使用http 协议进行浏览等操作,无法确认数据与用户发出的是否一致, 可能数据被中途篡改 D网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式 获得用户密码,以该用户身份登录修改用户订单等信息& 30.以下关于PGP(Pretty Good Privacy)软件叙述错误的是: APGP 可以实现对邮件的加密、签名和认证 BPGP 可以实现数据压缩 CPGP 可以对邮件进行分段
19、和重组 DPGP 采用SHA 算法加密邮件&31入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全 技术,它与IDS 有着许多不同点,请指出下列哪一项描述不符合IPS 的特点? A串接到网络线路中 B对异常的进出流量可以直接进行阻断 C有可能造成单点故障 D.不会影响网络性能& 32相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具 有的优势? ANTFS 使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电 源故障等闯题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操 作 BNTFS 的分区上,可以为每个文件或文件夹设置单独的
20、许可权限 C对于大磁盘,NTFS 文件系统比FAT 有更高的磁盘利用率 D.相比FAT 文件系统,NTFS 文件系统能有效的兼容linux 下EXT2 文件格式& 33某公司系统管理员最近正在部署一台Web 服务器,使用的操作系统是 windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领 导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:A在网络中单独部署syslog 服务器,将Web 服务器的日志自动发送并存储到 该syslog 日志服务器中& B.严格设置Web 日志权限,只有系统权限才能进行读和写等操作 C对日志属性进行调整,加大日志文件大小、延
21、长日志覆盖时间、设置记录更 多信息等 D使用独立的分区用于存储日志,并且保留足够大的日志空间 34关于linux 下的用户和组,以下描述不正确的是 。 A在linux 中,每一个文件和程序都归属于一个特定的“用户” B系统中的每一个用户都必须至少属于一个用户组 C.用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于 多个组* Droot 是系统的超级用户,无论是否文件和程序的所有者都具有访问权限 35安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安 全必不可少的工作,某管理员对即将上线的Windows 操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运
22、行环境安全? A操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的 安全漏洞 B.为了方便进行数据备份,安装Windows 操作系统时只使用一个分区C,所有数 据和操作系统都存放在C 盘& C操作系统上部署防病毒软件,以对抗病毒的威胁 D将默认的管理员账号Administrator 改名,降低口令暴力破解攻击的发生可 能 36在数据库安全性控制中,授权的数据对象 ,授权子系统就越灵活? A.粒度越小& B约束越细致 C范围越大 D约束范围大 37下列哪一些对信息安全漏洞的描述是错误的? A漏洞是存在于信息系统的某种缺陷。 B漏洞存在于一定的环境中,寄生在一定的客体上(如TOE
23、中、过程中等)。 C具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者 利用,从而给信息系统安全带来威胁和损失。 D漏洞都是人为故意引入的一种信息系统的弱点& 38账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下 哪种攻击? A分布式拒绝服务攻击(DDoS) B病毒传染 C.口令暴力破解& D缓冲区溢出攻击 39数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCPIP 协 议中,数据封装的顺序是: A传输层、网络接口层、互联网络层 B传输层、互联网络层、网络接口层& C互联网络层、传输层、网络接口层 D互联网络层、网络接口层、传输层 40以下哪个不是导致
24、地址解析协议(ARP)欺骗的根源之一? AARP 协议是一个无状态的协议 B为提高效率,ARP 信息在系统中会缓存 CARP 缓存是动态的,可被改写 D.ARP 协议是用于寻址的一个重要协议 41张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵 称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻 击? A口令攻击 B暴力破解 C拒绝服务攻击 D.社会工程学攻击& 42关于软件安全开发生命周期(SDL),下面说法错误的是:A在软件开发的各个周期都要考虑安全因素 B软件安全开发生命周期要综合采用技术、管理和工程等手段 C测试阶段是发现并改正软件安全漏洞的最佳环节,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISP 考试 2016 专用 题库 资料 大全
限制150内