CISP试题及答案-三套题

  • 格式:docx
  • 大小:29.67 KB
  • 文档页数:14

1. 人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:A.为了更好地完成组织机构的使命B.针对信息系统的攻击方式发生重大变化C.风险控制技术得到革命性的发展D.除了保密性,信息的完整性和可用性也引起人们的关注2. 信息安全保障的最终目标是:A.掌握系统的风险,制定正确的策略B.确保系统的保密性、完整性和可用性C.使系统的技术、管理、工程过程和人员等安全保障要素达到要求D.保障信息系统实现组织机构的使命3. 关于信息保障技术框架(IATF),下列哪种说法是错误的?A.IATF强调深度防御(Defense-in-Depth),关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障;B. IATF强调深度防御(Defense-in-Depth),即对信息系统采用多层防护,实现组织的业务安全运作C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全;D. IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全4. 依据国家标准GB/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)是从信息系统安全保障____的角度来描述的信息系统安全保障方案。

A.建设者B.所有者C.评估者D.制定者5. 以下关于信息系统安全保障是主观和客观的结合说法错误的是:A.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。

B.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全C.是一种通过客观证据向信息系统所有者提供主观信心的活动D.是主观和客观综合评估的结果;6. 信息系统保护轮廓(ISPP)定义了__.A. 某种类型信息系统的与实现无关的一组系统级安全保障要求B. 某种类型信息系统的与实现相关的一组系统级安全保障要求C. 某种类型信息系统的与实现无关的一组系统级安全保障目的D. 某种类型信息系统的与实现相关的一组系统级安全保障目的7. 以下对PPDR模型的解释错误的是:A.该模型提出以安全策略为核心,防护、检测和恢复组成一个完整的,B.该模型的一个重要贡献是加进了时间因素,而且对如何实现系统安全状态给出了操作的描述C.该模型提出的公式1:Pt>Dt+Rt,代表防护时间大于检测时间加响应时间D.该模型提出的公式1:Pt=Dt+Rt,代表防护时间为0时,系统检测时间等于检测时间加响应时间8. 以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项作内容之一?A.提高信息技术产品的国产化率B.保证信息安全资金投入&C.加快信息安全人才培养D.重视信息安全应急处理工作9. 谁首先提出了扩散-混淆的概念并应用于密码学领域?A. 香农B. ShamirC. HellmanD. 图灵10. 以下哪些问题、概念不是公钥密码体制中经常使用到的困难问题?A.大整数分解B.离散对数问题C.背包问题D.伪随机数发生器11. 下列关于kerckhofff准则的合理性阐述中,哪一项是正确的?A. 保持算法的秘密比保持密钥的秘密性要困难得多B. 密钥一旦泄漏,也可以方便地更换C. 在一个密码系统中,密码算法是可以公开的,密钥应保证安全D. 公开的算法能够经过更严格的安全性分析12. 以下关于RSA算法的说法,正确的是:A. RSA不能用于数据加密B. RSA只能用于数字签名C. RSA只能用于密钥交换D. RSA可用于加密,数字签名和密钥交换体制13. Hash算法的碰撞是指:A. 两个不同的消息,得到相同的消息摘要B. 两个相同的消息,得到不同的消息摘要C. 消息摘要和消息的长度相同D. 消息摘要比消息的长度更长14. 下列哪种算法通常不被用于保证机密性?A. AESB. RC4C. RSAD. MD515. 数字证书的功能不包括:A. 加密B. 数字签名C. 身份认证D. 消息摘要16. 下列哪一项是注册机构(RA)的职责?A.证书发放B.证书注销C.提供目录服务让用户查询D.审核申请人信息17. IPsec工作模式分别是:A. 一种工作模式:加密模式B. 三种工作模式:机密模式、传输模式、认证模式C. 两种工作模式:隧道模式、传输模式D. 两种工作模式:隧道模式、加密模式18. 下列哪些描述同SSL相关?A. 公钥使用户可以交换会话密钥,解密会话密钥并验证数字签名的真实性B. 公钥使用户可以交换会话密钥,验证数字签名的真实性以及加密数据C. 私钥使用户可以创建数字签名,加密数据和解密会话密钥。

19. 下列关于IKE描述不正确的是:A.IKE可以为IPsec协商关联B.IKE可以为RIPV2\OSPPV2等要求保密的协议协商安全参数C.IKE可以为L2TP协商安全关联D.IKE可以为SNMPv3等要求保密的协议协调安全参数20. 下面哪一项不是VPN协议标准?A. L2TPB. IPSecC. TACACSD. PPTP21. 自主访问控制与强制访问控制相比具有以下哪一个优点?A.具有较高的安全性B.控制粒度较大C.配置效率不高D.具有较强的灵活性22. 以下关于Chinese Wall模型说法正确的是A. Bob 可以读银行a的中的数据,则他不能读取银行c中的数据B. 模型中的有害客体是指会产生利益冲突,不需要限制的数据C. Bob 可以读银行a的中的数据,则他不能读取石油公司u中的数据D. Bob 可以读银行a的中的数据,Alice可以读取银行b中的数据,他们都能读取在油公司u中的数据,由则Bob 可以往石油公司u中写数据23. 以下关于BLP模型规则说法不正确的是:A.BLP模型主要包括简单安全规则和*-规则B.*-规则可以简单表述为下写C.主体可以读客体,当且仅当主体的安全级可以支配客体的安全级,且主体对该客体具有自主型读权限D.主体可以读客体,当且仅当客体的安全级可以支配主体的安全级,且主体对该客体具有自主型读权限24. 以下关于RBAC模型说法正确的是:A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B.一个用户必须扮演并激活某种角色,才能对一个象进行访问或执行某种操作C.在该模型中,每个用户只能有一个角色D.在该模型中,权限与用户关联,用户与角色关联25. 下列对常见强制访问控制模型说法不正确的是:A.BLP影响了许多其他访问控制模型的发展B.Clark-Wilson模型是一种以事物处理为基本操作的完整性模型C.Chinese Wall模型是一个只考虑完整性的安全策略模型D.Biba模型是一种在数学上与BLP模型对偶的完整性保护模型26. 访问控制的主要作用是:A. 防止对系统资源的非授权访问B. 在安全事件后追查非法访问活动C. 防止用户否认在信息系统中的操作D. 以上都是27. 作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。

由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?A.自主访问控制(DAC)B.强制访问控制(MAC)C.基于角色访问控制(RBAC)D.最小特权(LEAST Privilege)28. 下列对kerberos协议特点描述不正确的是:A. 协议采用单点登录技术,无法实现分布式网络环境下的认证—B. 协议与授权机制相结合,支持双向的身份认证C. 只要用户拿到了TGT并且TGT没有过期,就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码D. AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS 的性能和安全29. 以下对单点登录技术描述不正确的是:A.单点登录技术实质是安全凭证在多个用户之间的传递或共享B.使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用C.单点登录不仅方便用户使用,而且也便于管理D.使用单点登录技术能简化应用系统的开发30. 下列对标识和鉴别的作用说法不正确的是:A. 它们是数据源认证的两个因素B. 在审计追踪记录时,它们提供与某一活动关联的确知身份C. 标识与鉴别无法数据完整性机制结合起来使用D. 作为一种必要支持,访问控制的执行依赖于标识和鉴别确知的身份31. 下面哪一项不属于集中访问控制管理技术?A.RADIUSB.TEMPESTC.TACACSD.Diameter32. 安全审计是系统活动和记录的独立检查和验证,以下哪一项不是审计系统的作用?A.辅助辨识和分析未经授权的活动或攻击B.对与已建立的安全策略的一致性进行核查C.及时阻断违反安全策略的致性的访问D.帮助发现需要改进的安全控制措施33. 下列对蜜网关键技术描述不正确的是:A. 数据捕获技术能够检测并审计黑客的所有行为数据B. 数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动,使用工具及其意图C. 通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全D. 通过数据控制、捕获和分析,能对活动进行监视、分析和阻止34. 以下哪种无线加密标准中哪一项的安全性最弱?A.WepB.wpaC.wpa2D.wapi35. 路由器的标准访问控制列表以什么作为判别条件?A. 数据包的大小B. 数据包的源地址C. 数据包的端口号D. 数据包的目的地址36. 通常在设计VLAN时,以下哪一项不是VIAN规划方法?A.基于交换机端口B.基于网络层协议C.基于MAC地址D.基于数字证书37. 防火墙中网络地址转换(MAT)的主要作用是:A.提供代理服务B.隐藏内部网络地址C.进行入侵检测D.防止病毒入侵38. 哪一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问连接的能力?A.包过滤防火墙B.状态检测防火墙C.应用网关防火墙D.以上都不能39. 以下哪一项不属于入侵检测系统的功能?A.监视网络上的通信数据流B.捕捉可疑的网络活动C.提供安全审计报告D.过滤非法的数据包40.下面哪一项不是通用IDS模型的组成部分:A.传感器B.过滤器C.分析器D.管理器41.windows操作系统中,令人欲限制用户无效登录的次数,应当怎么做?A.在”本地安全设置”中对”密码策略”进行设置B. 在”本地安全设置”中对”用户锁定策略”进行设置C. 在”本地安全设置”中对”审核策略”进行设置D. 在”本地安全设置”中对”用户权利措施”进行设置42.下列哪一项与数据库的安全的直接关系?A.访问控制的程度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量43.Apache Web 服务器的配置文件一般位于/ /local/spache/conf目录.其中用来控制用户访问Apache目录的配置文件是:A.httqd.confB.srm.confC.access.confD.inetd.conf44.关于计算机病毒具有的感染能力不正确的是:A.能将自身代码注入到引导区B. 能将自身代码注入到限区中的文件镜像C. 能将自身代码注入文本文件中并执行D. 能将自身代码注入到文档或模板的宏中代码45.蠕虫的特性不包括:A.文件寄生B.拒绝服务C.传播快D.隐蔽性好46.关于网页中的恶意代码,下列说法错误的是:A.网页中的恶意代码只能通过IE浏览器发挥作用B. 网页中的恶意代码可以修改系统注册表C. 网页中的恶意代码可以修改系统文件D. 网页中的恶意代码可以窃取用户的机密文件47.当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时,就会产生哪种类型的漏洞?A.缓冲区溢出B.设计错误C.信息泄露D.代码注入48.下列哪一项不是信息安全漏洞的载体?A.网络协议B.操作系统C.应用系统D.业务数据49.攻击者使用伪造的SYN包,包的源地址和目标地址都被设置成被攻击方的地址,这样被攻击方会给自己发送SYN-ACK消息并发回ACK消息,创建一个连接,每一个这样的连接都将保持到超时为止,这样过多的空连接会耗尽被攻击方的资源,导致拒绝服务.这种攻击称为之为:B.Smurf攻击C.Ping of Death攻击D.ICMP Flood50. 以下哪个攻击步骤是IP欺骗(IP SPoof)系列攻击中最关键和难度最高的?A.对被冒充的主机进行拒绝服务,使其无法对目标主机进行响应B.与目标主机进行会话,猜测目标主机的序号规则C.冒充受信主机想目标主机发送数据包,欺骗目标主机D.向目标主机发送指令,进行会话操作51.以下针对Land攻击的描述,哪个是正确的?nd是一种针对网络进行攻击的方式,通过IP欺骗的方式向目标主机发送欺骗性数据报文,导致目标主机无法访问网络B. Land是一种针对网络进行攻击的方式,通过向主机发送伪造的源地址为目标主机自身的连接请求,导致目标主机处理错误形成拒绝服务C. Land攻击是一种利用协议漏洞进行攻击的方式,通过发送定制的错误的数据包使主机系统处理错误而崩溃D. Land是一种利用系统漏洞进行攻击的方式,通过利用系统漏洞发送数据包导致系统崩溃52.下列对垮站脚本攻击(XSS)描述正确的是:A. XSS攻击指的是恶意攻击者往WEB页面里插入恶意代码,当用户浏览该页之时,嵌入其中WEB里面的代码会被执行,从而达到恶意攻击用户的特殊目的.B. XSS攻击是DDOS攻击的一种变种C .XSS.攻击就是CC攻击D. XSS攻击就是利用被控制的机器不断地向被网站发送访问请求,迫使NS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的53.下列哪一项不属于FUZZ测试的特性?A.主要针对软件漏洞或可靠性错误进行测试.B.采用大量测试用例进行激励响应测试C.一种试探性测试方法,没有任何依据&D.利用构造畸形的输入数据引发被测试目标产生异常54.对攻击面(Attack surface)的正确定义是:A.一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低B.对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大C.一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大D.一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大55.以下哪个不是软件安全需求分析阶段的主要任务?A.确定团队负责人和安全顾问C.定义安全和隐私需求(质量标准)D.设立最低安全标准/Bug栏56.风险评估方法的选定在PDCA循环中的那个阶段完成?A.实施和运行B.保持和改进C.建立D.监视和评审57.下面关于ISO27002的说法错误的是:A.ISO27002的前身是ISO17799-1B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部C.ISO27002对于每个措施的表述分”控制措施”、“实施指南”、和“其它信息”三个部分来进行描述D.ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施58.下述选项中对于“风险管理”的描述正确的是:A.安全必须是完美无缺、面面俱到的。