CISP试题及答案-四套题 下载本文

攻击

C.字典攻击 D.中间人攻击

38.下列哪些措施不是有效的缓冲区溢出的防护措施 A.使用标准的C语言字符串库进行操作 B.严格验证输入字符串长度 C.过滤不合规则的字符

D.使用第三方安全的字符串库操作

39.下面对PDCA模型的解释不正确的是:

A.通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B.是一种可以应用于信息安全管理活动的持续改进的有效实践方法 C.也被称为“戴明环”

D.适用于对组织整体活动的优化,不适合单个的过程以及个人

40.风险评估方法的选定在PDCA循环中的哪个阶段完成 A.实施和运行 B.保持和改进 C.建立

D.监视和评审

41.在风险管理准备阶段“建立背景”(对象建立)过程中不用设置的是: A.分析系统的体系结构 B.分析系统的安全环境 C.制定风险管理计划 D.调查系统的技术特性

42.风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程。关于这些过程,以下的说法哪一个是正确的 A.风险分析准备的内容是识别风险的影响和可能性

B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度 C.风险分析的内容是识别风险的影响和可能性

D.风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施

43.下列哪一项准确地描述了脆弱性、威胁、影响和风险之间的关系 A.脆弱性增加了威胁,威胁利用了风险并导致了影响 B.风险引起了脆弱性并导致了影响,影响又引起了威胁 C.风险允许威胁利用脆弱性,并导致了影响

D.威胁利用脆弱性并产生影响的可能性称为风险,影响是威胁已造成损害的实例

44.管理者何时可以根据风险分析结果对已识别的风险不采取措施 A.当必须的安全对策的成本高出实际风险的可能造成的潜在费用时 B.当风险减轻方法提高业务生产力时

C.当引起风险发生的情况不在部门控制范围之内时 D.不可接受

45.以下选项中哪一项是对于信息安全风险采取的纠正机制 A.访问控制 B.入侵检测 C.灾难恢复 D.防病毒系统

46.下列对风险分析方法的描述正确的是: A.定量分析比定性分析方法使用的工具更多 B.定性分析比定量分析方法使用的工具更多 C.同一组织只用使用一种方法进行评估

D.符合组织要求的风险评估方法就是最优方法

47.下列哪种处置方法属于转移风险 A.部署综合安全审计系统 B.对网络行为进行实时监控 C.制订完善的制度体系

D.聘用第三方专业公司提供维护外包服务

48.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负责最终责任 A.部门经理 B.高级管理层 C.信息资产所有者 D.最终用户

49.以下关于“最小特权”安全管理原则理解正确的是: A.组织机构内的敏感岗位不能由一个人长期负责 B.对重要的工作进行分解,分配给不同人员完成 C.一个人有且仅有其执行岗位所足够的许可和权限

D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限

50.在《信息系统灾难恢复规范》中,根据___要素,X灾难恢复等级划分为___X. A. 7;6 B. 8;7 C. 7;7 D. 8;6

51.灾难发生时,系统和数据必须恢复到的______为恢复点目标() A. 时间要求 B. 时间点要求 C. 数据状态 D. 运行状态

52.根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:

A.系统级演练、业务级演练、应用级演练 B.系统级演练、应用级演练、业务级演练 C.业务级演练、应用级演练、系统级演练 D.业务级演练、系统级演练、应用级演练

53.下面对能力成熟度模型解释最准确的是:

A.它认为组织的能力依赖于严格定义、管理完善、可测可控的有效业务过程 B.它通过严格考察工程成果来判断工程能力

C.它与统计过程控制理论的出发点不同,所以应用于不同领域 D.它是随着信息安全的发展而诞生的重要概念

54.下面对于SSE—CMM保证过程的说话错误的是: A.保证是指安全需求得到满足的可信任程度 B.信任程度来自于对安全工程过程结果的判断

C.自验证与证实安全的主要手段包括观察、论证、分析和测试 “建立保证论据”为PA“验证与证实安全”提供了证据支持

—CMM工程过程区域中的风险过程包含哪些过程区域 A.评估威胁、评估脆弱性、评估影响 B.评估威胁、评估脆弱行、评估安全风险

C.评估威胁、评估脆弱性、评估影响、评估安全风险 D.评估威胁、评估脆弱性、评估影响、验证和证实安全

56.按照SSE—CMM,能力级别第三级是指: A.定量控制 B.计划和跟踪 C.持续改进 D.充分定义

57.一个组织的系统安全能力成熟度达到哪个级别以后,就可以考为过程域(PA)的实施提供充分的资源 级——计划和跟踪 级——充分定义 级——量化控制 级——持续改进

58.在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标: A.防止出现数据范围以外的值 B.防止出现错误的数据处理顺序 C.防止缓冲区溢出攻击 D.防止代码注入攻击

59 信息安全工程经理工程师不需要做的工作是 A 编写响应测试方案 B 审核相应测试方案 C 参与响应测试过程 D 审核响应测试资质

60.国际标准化组织ISO下属208个技术委员会(TCs),531个分技术委员会(SCs),2378个工作组(WGs),其中负责信息安全技术标准化的组织是: IEC

IEC JTC 1

IEC JTC 1/SC 27 IEC JTC 1/SC 37

是目前国际通行的信息技术产品安全性评估标准

62.以下对确定信息系统的安全保护等级理解正确的是: A.信息系统的安全保护等级是信息系统的客观属性

B.确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施 C.确定信息系统的安全保护等级时应考虑风险评估的结果 D.确定信息系统的安全保护等级时应仅考虑业务信息的安全性

63.下面哪个不是ISO 27000 系列包含的标准 A.《信息安全管理体系要求》 B.《信息安全风险管理》 C.《信息安全度量》 D.《信息安全评估规范》

64.以下哪一个关于信息安全评估的标准最先明确了保密性,完整性和可用性三项信息安全特征 A ITSEC B TCSEC C GB/

D 彩虹系列的橙皮书

65.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制, (计算机信息系统国家联网保密管理规定)是由下列哪个部门所指定的 A 公安部 B 国家保密局 C 信息产业部

D 国家密码管理委员会办公室

66.下面有关我国信息安全管理体制的说法错误的是:

A.目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面 B.我国的信息安全保障工作综合利用法律、管理和技术的手段

C.我过的信息安全管理成坚持及时检测、快速响应、综合治理的方针 D.我国对于信息安全责任的原则是谁主管、谁负责、谁经营、谁负责

67.以下哪一项不是我国与信息安全有关的国家法律 A.《信息安全等级保护管理方法》 B.《中华人民共和国保守国家秘密法》 C.《中华人民共和国刑法》

D.《中华人民共和国国家安全法》

68.触犯新刑法285条规定的非法侵入计算机系统罪可判处______。 A.三年以下有期徒刑或拘役 元罚款

C.三年以上五年以下有期徒刑 元罚款

69.下列哪个不是《商用密码管理条例》规定的内容

A.国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作 B.商用密码技术术语国家秘密,国家对商用密码产品的科研、生产、销售秘密XX行专空管理

C.商用密码产品由国家密码管理机构许可的单位销售

D.个人可以使用经国家密码管理机构认可之外的商用密码产品 70. tcp/IP协议的4层网络模型是 A应用层、传输层、网络层和物理层 B应用层、传输层、网络层和网络接口层 C应用层、数据链路层、网络层和网络接口层 D会话层、数据连接层、网络层和网络接口层 71什么设备可以隔离ARP广播帧。 A路由器 B网桥

C以太网交换机 D集线器

72以下那一项不是应用层防火墙的特点 A更有效的阻止应用层攻击 B工作在OSI模型的第七层 C速度快且对用户透明 D比较容易进行审计

73 桥接或透明模式是目前比较流行的防火墙部署方式,这种 方式-------

A不需要对原有的网络配置进行修改