CISP试题及答案-三套题

  • 格式:doc
  • 大小:32.47 KB
  • 文档页数:14

.

. 1. 人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:

A.为了更好地完成组织机构的使命

B.针对信息系统的攻击方式发生重大变化

C.风险控制技术得到革命性的发展

D.除了保密性,信息的完整性和可用性也引起人们的关注

2. 信息安全保障的最终目标是:

A.掌握系统的风险,制定正确的策略

B.确保系统的保密性、完整性和可用性

C.使系统的技术、管理、工程过程和人员等安全保障要素达到要求

D.保障信息系统实现组织机构的使命

3. 关于信息保障技术框架(IATF),下列哪种说法是错误的?

A.IATF强调深度防御(Defense-in-Depth),关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障;

B. IATF强调深度防御(Defense-in-Depth),即对信息系统采用多层防护,实现组织的业务安全运作

C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全;

D. IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全

4. 依据国家标准GB/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)是从信息系统安全保障____的角度来描述的信息系统安全保障方案。

A.建设者

B.所有者

C.评估者

D.制定者

5. 以下关于信息系统安全保障是主观和客观的结合说法错误的是:

A.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。

B.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全

C.是一种通过客观证据向信息系统所有者提供主观信心的活动

D.是主观和客观综合评估的结果;

6. 信息系统保护轮廓(ISPP)定义了__.

A. 某种类型信息系统的与实现无关的一组系统级安全保障要求

B. 某种类型信息系统的与实现相关的一组系统级安全保障要求

C. 某种类型信息系统的与实现无关的一组系统级安全保障目的

D. 某种类型信息系统的与实现相关的一组系统级安全保障目的

7. 以下对PPDR模型的解释错误的是:

A. 该模型提出以安全策略为核心,防护、检测和恢复组成一个完整的,

B. 该模型的一个重要贡献是加进了时间因素,而且对如何实现系统安全状态给出了操作的描述 .

. C. 该模型提出的公式1:Pt>Dt+Rt,代表防护时间大于检测时间加响应时间

D. 该模型提出的公式1:Pt=Dt+Rt,代表防护时间为0时,系统检测时间等于检测时间加响应时间

8. 以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项 作内容之一?

A. 提高信息技术产品的国产化率

B. 保证信息安全资金投入&

C. 加快信息安全人才培养

D. 重视信息安全应急处理工作

9. 谁首先提出了扩散-混淆的概念并应用于密码学领域?

A. 香农

B. Shamir

C. Hellman

D. 图灵

10. 以下哪些问题、概念不是公钥密码体制中经常使用到的困难问题?

A. 大整数分解

B. 离散对数问题

C. 背包问题

D. 伪随机数发生器

11. 下列关于kerckhofff准则的合理性阐述中,哪一项是正确的?

A. 保持算法的秘密 比保持密钥的秘密性要困难得多

B. 密钥一旦泄漏,也可以方便地更换

C. 在一个密码系统中,密码算法是可以公开的,密钥应保证安全

D. 公开的算法能够经过更严格的安全性分析

12. 以下关于RSA算法的说法,正确的是:

A. RSA不能用于数据加密

B. RSA只能用于数字签名

C. RSA只能用于密钥交换

D. RSA可用于加密,数字签名和密钥交换体制

13. Hash算法的碰撞是指:

A. 两个不同的消息,得到相同的消息摘要

B. 两个相同的消息,得到不同的消息摘要

C. 消息摘要和消息的长度相同

D. 消息摘要比消息的长度更长

14. 下列哪种算法通常不被用于保证机密性?

A. AES

B. RC4 .

. C. RSA

D. MD5

15. 数字证书的功能不包括:

A. 加密

B. 数字签名

C. 身份认证

D. 消息摘要

16. 下列哪一项是注册机构(RA)的职责?

A. 证书发放

B. 证书注销

C. 提供目录服务让用户查询

D. 审核申请人信息

17. IPsec工作模式分别是:

A. 一种工作模式:加密模式

B. 三种工作模式:机密模式、传输模式、认证模式

C. 两种工作模式:隧道模式、传输模式

D. 两种工作模式:隧道模式、加密模式

18. 下列哪些描述同SSL相关?

A. 公钥使用户可以交换会话密钥,解密会话密钥并验证数字签名的真实性

B. 公钥使用户可以交换会话密钥,验证数字签名的真实性以及加密数据

C. 私钥使用户可以创建数字签名,加密数据和解密会话密钥。

19. 下列关于IKE描述不正确的是:

A. IKE可以为IPsec协商关联

B. IKE可以为RIPV2\OSPPV2等要求保密的协议协商安全参数

C. IKE可以为L2TP协商安全关联

D. IKE可以为SNMPv3等要求保密的协议协调安全参数

20. 下面哪一项不是VPN协议标准?

A. L2TP

B. IPSec

C. TACACS

D. PPTP

21. 自主访问控制与强制访问控制相比具有以下哪一个优点?

A. 具有较高的安全性

B. 控制粒度较大

C. 配置效率不高

D. 具有较强的灵活性

22. 以下关于Chinese Wall模型说法正确的是 .

. A. Bob 可以读银行a的中的数据,则他不能读取银行c中的数据

B. 模型中的有害客体是指会产生利益冲突,不需要限制的数据

C. Bob 可以读银行a的中的数据,则他不能读取石油公司u中的数据

D. Bob 可以读银行a的中的数据,Alice可以读取银行b中的数据,他们都能读取在油公司u中的数据,由则Bob 可以往石油公司u中写数据

23. 以下关于BLP模型规则说法不正确的是:

A. BLP模型主要包括简单安全规则和*-规则

B. *-规则可以简单表述为下写

C. 主体可以读客体,当且仅当主体的安全级可以支配客体的安全级,且主体对该客体具有自主型读权限

D. 主体可以读客体,当且仅当客体的安全级可以支配主体的安全级,且主体对该客体具有自主型读权限

24. 以下关于RBAC模型说法正确的是:

A. 该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限

B. 一个用户必须扮演并激活某种角色,才能对一个象进行访问或执行某种操作

C. 在该模型中,每个用户只能有一个角色

D. 在该模型中,权限与用户关联,用户与角色关联

25. 下列对常见强制访问控制模型说法不正确的是:

A. BLP影响了许多其他访问控制模型的发展

B. Clark-Wilson模型是一种以事物处理为基本操作的完整性模型

C. Chinese Wall模型是一个只考虑完整性的安全策略模型

D. Biba模型是一种在数学上与BLP模型对偶的完整性保护模型

26. 访问控制的主要作用是:

A. 防止对系统资源的非授权访问

B. 在安全事件后追查非法访问活动

C. 防止用户否认在信息系统中的操作

D. 以上都是

27. 作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?

A. 自主访问控制(DAC)

B. 强制访问控制(MAC)

C. 基于角色访问控制(RBAC)

D. 最小特权(LEAST Privilege)

28. 下列对kerberos协议特点描述不正确的是:

A. 协议采用单点登录技术,无法实现分布式网络环境下的认证—

B. 协议与授权机制相结合,支持双向的身份认证

C. 只要用户拿到了TGT并且TGT没有过期,就可以使用该TGT通过TGS完成到任一个服.

. 务器的认证而不必重新输入密码

D. AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全

29. 以下对单点登录技术描述不正确的是:

A. 单点登录技术实质是安全凭证在多个用户之间的传递或共享

B. 使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用

C. 单点登录不仅方便用户使用,而且也便于管理

D. 使用单点登录技术能简化应用系统的开发

30. 下列对标识和鉴别的作用说法不正确的是:

A. 它们是数据源认证的两个因素

B. 在审计追踪记录时,它们提供与某一活动关联的确知身份

C. 标识与鉴别无法数据完整性机制结合起来使用

D. 作为一种必要支持,访问控制的执行依赖于标识和鉴别确知的身份

31. 下面哪一项不属于集中访问控制管理技术?

A. RADIUS

B. TEMPEST

C. TACACS

D. Diameter

32. 安全审计是系统活动和记录的独立检查和验证,以下哪一项不是审计系统的作用?

A. 辅助辨识和分析未经授权的活动或攻击

B. 对与已建立的安全策略的一致性进行核查

C. 及时阻断违反安全策略的致性的访问

D. 帮助发现需要改进的安全控制措施

33. 下列对蜜网关键技术描述不正确的是:

A. 数据捕获技术能够检测并审计黑客的所有行为数据

B. 数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动,使用工具及其意图

C. 通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全

D. 通过数据控制、捕获和分析,能对活动进行监视、分析和阻止

34. 以下哪种无线加密标准中哪一项的安全性最弱?

A. Wep

B. wpa

C. wpa2

D. wapi

35. 路由器的标准访问控制列表以什么作为判别条件?

A. 数据包的大小

B. 数据包的源地址