最新CISP必须练习题(F)100题_V18-03版(带答案)
- 格式:pdf
- 大小:302.97 KB
- 文档页数:14
信息安全专业考试模拟练习题目(F)
1.以下关于软件安全问题对应关系错误的是?A.缺点(Defect)-软件实现和设计上的弱点
B.缺陷(Bug)-实现级上的软件问题
C.瑕疵(Flaw)-一种更深层次、设计层面的问题
D.故障(Failure)-由于软件存在缺点造成的一种外部表吸纳,是静
态的、程序执行过程中出现的行为表现
答案:D
2.自主访问控制(DAC)是应用很广泛的访问控制方法,常用于多
种商业系统中,以下对DAC模型的理解中,存在错误的是()
A、在DAC模型中,资源的所有者可以确定谁有权访问它们的资
源
B、DAC是一种对单位单个用户执行访问控制的过程和措施
C、DAC可为用户提供灵活调整的安全策略,具有较好的易用性
和可扩展性,可以抵御特洛伊木马的攻击
D、在DAC中,具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体
答案:C
3.恶意代码经过20多年的发展,破坏性、种类和感染性都得到增强。
随着计算机的网络化程度逐步提高,网络传播的恶意代码对人们日常
生活影响越来越大。小李发现在自己的电脑查出病毒的过程中,防病
毒软件通过对有毒软件的检测,将软件行为与恶意代码为模型进行匹配,判断出该软件存在恶意代码,这种方式属于()
A、简单运行
B、行为检测
C、特征数据匹配
D、特征码扫描
答案:B
4.信息安全风险值应该是以下哪些因素的函数?()A、信息资产的价值、面临的威胁以及自身存在的脆弱性
B、病毒、黑客、漏洞等
C、保密信息如国家秘密、商业秘密等
D、网络、系统、应用的复杂程度答案:A
5.管理层应该表现对()、程序和控制措施的进行支持,并以身作则。
管理职责要确保雇员和承包方人员都了解(),其()角色和职
责,并遵守相应的条款和条件。组织要建立信息安全意识计划,并定
期组织信息安全()组织要建()。答案:教材第113页,第一段和第二段,请背诵下来,最好要理解。
6.主要的信息安全服务分为()、()、()、()、访问控制
A、访问控制、数据加密、
B、访问控制、加密、密秘性
C、访问控制、加密、数据完整性、序列
D、机密性、完整性、可用性、访问控制
答案:D
教材第346页,包括:鉴别、访问控制、数据保密性、数据完整性、抗抵赖。
7.在一个网络中,当拥有的网络域址容量不够多,终端计算机没有
必要分配静态IP地域时,可以采用过在计算机连拔到网络时,每次
为其临时在IP地址中选择一个IP地址并分配的方式为()
A、动态分配IP地址
B、静态分配IP地址C、网络域址转换分配地址
D、手动分配
答案:A
8.信息安全风险管理地基于()的信息安全管理,也就是,始终以()
为主线进行信息安全的管理。()的不同来理解信息安全风险管理的
侧重点,即()选择的应用和对象重点应有所不同。
A.风险;风险;信息系统;风险管理B.风险;风险;风险管理;信息系统
C.风险管理;信息系统;风险;风险
D.风险管理;风险;风险;风险;信息体统
答案:A,教材第88页,第3.2.1的最后一段话,背下来,要理解。
9.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重
要,计划编制本单位信息安全应急响应预案。在向主管领导些报告施,
他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四
条理由中,其中不适合作为理由的一条是()
A、应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式
B、应急预案是提高应对网络和信息系统突发事件能力,减少突发事
件造成的损失和危害,保障信息系统运行平稳、安全、有序、高效的
手段
C.编制应急预案是国家网络安全法对所有单位的强制要求,因此必须
建设
D.应急预案是保障单位业务系统信息安全的重要措施
答案:C
10.数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技
术来确保正确的传输,确保解决该层的流量控制问题,数据链路层的
数据单元是()
A.报文B.比特流C、帧D、包
答案:C
11.CISP职业道德包括诚实守信,遵纪守法,主要有()、()、()。A.不通过计算机网络系统进行造谣、欺诈、弄虚作假等违反诚信原
则的行为;不利用个人的信息安全技术能力实施或组织各种违法犯罪
行为;不在公众网络传播反动、暴力、黄色、低俗信息及非法软件;
B.热爱信息安全工作岗位和贡献;帮助和指导信息安全同行提升信
息安全保障知识和能力,为有需要的人谨慎负责的提出应对信息安全
问题的建设和帮助;
C.自觉维护国家信息安全,拒绝并抵制泄露国家秘密和破坏国家信
息基础设施的行为;自觉维护网络社会安全,拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为;自觉维护公众信息安
全,拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐
私的行为;
D、通过持续学习保持并提升自身的信息安全知识;利用日常工作、学术交流等各种方式保持和提升安全实践能力,以CISP身份为荣,
积极参与各种证后活动,避免任何损害CISP声誉形象的行为。
答案:第67页,第2节内容背诵下来,答案为A,A是和题干中的
衔接部分的。
12.某公司财务服务器收到攻击被攻击者删除了所有用户数据,包括系统日志,公司网络管理员在了解情况后,给出了一些解决措施建议,
作为信息安全主管,你必须支持不恰当的操作并阻止此次操作()
A.由于单位内无专业网络安全应急人员,网站管理员希望出具授权书
委托书某网络安全公司技术人员对本次攻击进行取证
B.由于公司缺乏备用磁盘,因此计划特恢复服务器上被删除的日志文
件进行本地恢复后再提取出来进行取证
C.由于公司缺乏备用磁盘,因此网络管理员申请采购与服务器磁盘
同一型号的硬盘用于存储恢复出来的数据
D.由于公司并无专业网络安全应急人员,因此由网络管理员负责此次事件的应急协调相关工作
答案:B,因为破坏了证据。
13.在你对终端计算机进行Ping操作,不同操作系统回应的数据包含
中初始ITL值是不同的,ITL是IP协议包中的一个信,它告诉网络,
数据包在网络中的时间是否太长而应被丢弃。(简而言之,你可以通
过TTL值推算一下下列数据包已经通过了多少个路由器)根据回应的数据包中的TTL值,可以大致判断()
A.内存容量B.操作系统的类型
C.对方物理位置D.对方的MAC地址
答案:B
14.()攻击是建立在人性“弱点”利用基础上的攻击,大部分的
社会工程学攻击都是经过()才能实施成功的。即时是最简单的
“直接攻击”也需要进行()。如果希望受害者攻击者所需要的()。
答案:教材第229页,最下面一段话,理解和记忆背诵下来。(社会
工程学攻击)、(精心策划)、(前期准备)、(身份)。尽管都理解,但
只有和原文一样才能得分。
15.某公司为加强员工的信息安全意识,公司员工方式入侵公司信
息系统是,
答案:建议看教程的管理知识点,具体知识点如下:
知识点:管理层切实履行相应的管理职责是ISMS能够成功实施的最
关键因素,会对ISMS建设产生推动作用。
16.恶意软件分析是快速准确的识别,实际上是虚拟化技术的应用,
是动态分析中广泛采用的一种技术,
A.动态分析是指在虚拟进行环境中,
B.动态分析针对性强,并具有较高的
C.动态分析通过对其文件的分析
D.动态分析通过监控系统建设,文件和注册表等方面出现的
答案:A
17.安全评估技术采用()这一工具,它是一种能够自动检测远
程本地和网络安全程序。
A.安全扫描器
B.安全扫描仪
C.自动扫描器
D.自动扫描仪
答案:A
18.小张在一个不知名的网站上下载了鲁大师并进行安装,电脑安全
软件提示该软件有恶意,小张急出一身冷汗,因为他知道恶意代码
将随之进入系统后会对他的系统信息安全造成很大的威胁,能检查恶
意代码的转的实现方式不包括()
A.攻击者在获得系统的上传受限后,将恶意代码部署到目标系统
B.恶意代码自身就是软件的一部分,随软件部署传播
C.内嵌在软件中,当文件被执行时进入目标系统D.恶意代码通过网上激活
答案:D,恶意代码一般不需要激活。
19.操作系统是作为一个支撑软件,使得你的程序或别的应用系统在上面正常运行的一个环境,操作系统提供了更好的管理功能,主要是
管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系
统开发设计的不而下的破绽,都给网络安全留下隐患。某公司的网
络维护师为实现该公司操作系统的安全目标,按书中所学建立了相应
的安全机制,这些机制不包括()
A.标识与鉴别B.访问控制
C.权限管理
D.网络云盘存取保护
答案:D
20.信息安全应急响应,是指一个组织为了应对各种安全意外事件的
发生所采取的防范措施,既包括预防措施,也包括事件发生后的应对
措施。应急响应方法和过程并不是唯一的,在下面的应急响应管理流
程图中,空白方框处填写正确的选项是()
答案:复习应急响应的流程,准备、检测、遏制、根除、恢复、跟踪
总结。
21.传输线路是信息发送设备和接受设备之间的物理通信,针对传输
答案:教程第341页8.1.3章节下的第一段话,记忆和理解。
22.风险处理是依据(),选择和实施合适的安全措施,风险处理
的目的是为了()始终控制在可接受的范围内,风险处理的方式
主要有()、()、()、和()四种方式A.风险;风险评估的结果;降低;规避;转移;接受
B.风险评估的结果;风险;降低;规避;转移;接受
C.风险评估;风险;降低;规避;转移;接受
D.风险;风险评估;降低;规避;转移;接受答案:B
23.信息安全风险评估是针对事物潜在影响正常执行器职能的行为产
生于优减有破坏的因素进行识别、评价的过程下列选项中不属于风险
评估要素的是()
A.资产B.脆弱性C.威胁D.安全需求答案:D
24.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法,
他们在讨论中就应该采用自主访问控制还是制访问控制产生了分歧。
小李应该采用自主访问控制的方法,他的观点主要有:(1)自主访问控
制方式,为用户提供灵活、可调整的安全策略,合法用户可以修改任
一文件的存取控制信息;(2)自主访问控制可以抵御木马程序的攻击,
小刘认为应该采用强制访问控制的方法、他的观点主要有:(3)强制
访问控制中,只有文件拥有者可以修改文件的安全属性,因此安全性较高;(4)强制访问控制能够保护敏感信息,以上四个观点中,有一
个观点是正确的,它是()
A.观点(1)B观点(2)
C.观点(3)D.观点(4)
答案:D
25.基于对()的信任,当一个请求或命令来自一个“权威”人士时,这个请求就可能被不怀疑的()。在()中,攻击者伪装成“公安部
门”人员,要求受害者转账到所谓“安全账户”就是利用了受害者对
权威的信任。在()中,攻击者可能伪装成监管部门、信息系统管理
人员等身份,去要求受害者执行操作。例如伪装成系统管理员,告诉
用户请求配合进行一次系统测试,要求()等。
A.权威;执行;电信诈骗;网络攻击;更改密码
B.权威;执行;网络攻击;电信诈骗;更改密码
C.执行;权威;电信诈骗;网络攻击;更改密码