2022年CISP试题及答案-四套题 .pdf
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《2022年CISP试题及答案-四套题 .pdf》由会员分享,可在线阅读,更多相关《2022年CISP试题及答案-四套题 .pdf(16页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、学习资料收集于网络,仅供参考学习资料1 信息安全发展各阶段中,下面哪一项是信息安全所面临的主要威胁A 病毒B非法访问C信息泄漏D-口令2.关于信息保障技术框架IATF ,下列说法错误的是A IATF强调深度防御,关注本地计算环境,区域边境,网络和基础设施,支撑性基础设施等多个领域的安全保障B IATF强调深度防御,针对信息系统采取多重防护,实现组织的业务安全运作。C IATF强调从技术,管理和人等多个角度来保障信息系统的安全D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全3.美国国家安全局的信息保障技术框架IATF ,在描述信息系统的安全需求时将信息系统分为
2、A 内网和外网两个部分B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别4.下面那一项表示了信息不被非法篡改的属性A 可生存性B 完整性C 准确性D 参考完整性5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是A 信息系统安全保障不仅涉及安全技术,还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全B 通过在技术、 管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C
3、 是一种通过客观保证向信息系统评估者提供主观信心的活动D 6、 一下那些不属于现代密码学研究A Enigma 密码机的分析频率B - C diffie-herrman 密码交换D 查分分析和线性分析7.常见密码系统包含的元素是:A. 明文、密文、信道、加密算法、解密算法B. 明文,摘要,信道,加密算法,解密算法C. 明文、密文、密钥、加密算法、解密算法D. 消息、密文、信道、加密算法、解密算法8.公钥密码的应用不包括:A. 数字签名B. 非安全信道的密钥交换名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -
4、 - - - - 第 1 页,共 16 页 - - - - - - - - - 学习资料收集于网络,仅供参考学习资料C. 消息认证码D. 身份认证9.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?A. DSS B. Diffie-Hellman C. RSA D. AES 10.目前对 MD5,SHAI算法的攻击是指:A. 能够构造出两个不同的消息,这两个消息产生了相同的消息摘要B. 对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要C. 对于一个已知的消息摘要,能够恢复其原始消息D. 对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证。11 下
5、列对强制访问控制描述不正确的是A 主题对客体的所有访问B 强制访问控制时,主体和客体分配一个安全属性C 客体的创建者无权控制客体的访问权限D 强制访问控制不可与自主访问控制访客使用12 一下那些模型关注与信息安全的完整性A BIBA模型和 BELL-LAPADULA 模型bell-lapadula 模型和 chians well 模型C Biba 模型和 ciark-wllear D ciark-wllear 模型和 chians well 模型13 按照 BLP模型规则,以下哪种访问才能被授权A Bob 的安全级是机密,文件的安全级是机密,Bob 请求写该文件B Bob 的安全级是机密,文件
6、的安全级是机密,Bob 请求读该文件C Alice 的安全级是机密,文件的安全级是机密,Alice 请求写该文件D Alice 的安全级是机密,文件的安全级是机密,Alice 请求读该文件14.在一个使用Chinese Wall 模型建立访问控制的消息系统中,A. 只有访问了W 之后,才可以访问X B. 只有访问了W 之后,才可以访问Y和 Z中的一个C. 无论是否访问W,都只能访问Y和 Z 中的一个D. 无论是否访问W,都不能访问Y或 Z 15.以下关于 RBAC模型的说法正确的是:A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B.一个用户必须扮演并激活某种角色,才能对一个
7、对象进行访问或执行某种操作C.在该模型中,每个用户只能有一个角色D.在该模型中,权限与用户关联,用户与角色关联16.以下对 Kerberos 协议过程说法正确的是:A. 协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 16 页 - - - - - - - - - 学习资料收集于网络,仅供参考学习资料B. 协助可以分为两个步骤:一是获得票据许可票据;二是获取请求服务C. 协议可以分为三个步骤:一是用户身份鉴别;二是获得
8、票据许可票据;三是获得服务许可票据D. 协议可以分为三个步骤:一是获得票据许可票据;二是获得服务许可票据;三是获得服务17.基于生物特征的鉴别系统一般使用哪个参数来判断系统的准确度?A.错误拒绝率B.错误监测率C.交叉错判率D.错误接受率18.下列对密网功能描述不正确的是:A.可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击B.吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的活动记录下来C.可以进行攻击检测和实时报警D.可以对攻击活动进行监视、检测和分析19.下面哪一个不属于基于OSI七层协议的安全体系结构的5 种服务之一?A.数据完整性B.数据保密性C.数字签名D.抗抵赖20.以下哪种
9、方法不能有效保障WLN的安全性A 禁止默认的服务SSID B 禁止 SSID广播C 启用终端与AP的双面认证D 启用无线AP的认证测试21.简单包过滤防火墙主要工作在:A. 链接层 /网络层B. 网络层 /传输层C. 应用层D. 回话层22.以下哪一项不是应用层防火墙的特点?A.更有效的阻止应用层攻击B.工作在 OSI模型的第七层C.速度快且对用户透明D.比较容易进行审计23.下面哪一项不是IDS的主要功能?A.监控和分析用户系统活动名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3
10、 页,共 16 页 - - - - - - - - - 学习资料收集于网络,仅供参考学习资料B.统计分析异常活动模式C.对被破坏的数据进行修复D.识别活动模式以反映已知攻击24.有一类 IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的XX 来发现入侵事件,这种机制称作:A.异常检测B.特征检测C.差距分析D.比对分析25.以下关于 Linux 用户和组的描述不正确的是:A.在 linux 中,每一个文件和程序都归属于一个特定的“用户”B.系统中的每一个用户都必须至少属于一个用户组C.用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于多个组D.Root 是系统的超级
11、用户,无论是否文件和程序的所有者都且有访问权限26.以下关于 linux 超级权限的说明,不正确的是:A. 一般情况下,为了系统安全,对于一般常规级别的应用,不需要root 用户来操作完成B. 普通用户可以通过su 和 sudo 来获取系统的超级权限C. 对系统日志的管理,添加和删除用户等管理工作,必须以root 用户登录才能进行D. Root 是系统的超级用户,无论是否为文件和程序的所有者都只有访问权限27.在 windows 操作系统中,欲限制用户无效登录的次数,应当怎么做?A. 在“本地安全设置”中对“密码策略”进行设置B. 在“本地安全设置”中对“账户锁定策略”进行设置C. 在“本地安
12、全设置”中对“审核策略”进行设置D. 在“本地安全设置”中对“用户权利指派”进行设置28.以下对 windows 系统日志的描述错误的是:A. Windows 系统默认有三个日志,系统日志、应用程序日志、安全日志B. 系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件X 再 XX 控制器的故障C. 应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接XX )XXX D 安全日志跟踪网络入侵事件,* 拒绝服务攻击,口令暴力破解等。29 为了实现数据库的完整性控制,数据库管理员向提出一组完整行规则来检查数据库中的数据,完整行规则主要有三部分组成,一下那一个不是完整性规则
13、的内容A 完整新约束条件B 完整新检查机制C 完整新修复机制D 违约处理机制30.数据库事务日志的用途是:A.事务处理B.数据恢复名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 16 页 - - - - - - - - - 学习资料收集于网络,仅供参考学习资料C.完整性约束D.保密性控制31.攻击者在远程WEB页面的 HTML 代码中插入具有恶意目的的数据,用户认为该页面是可信赖的, 但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞?A.缓冲区溢出B
14、.SQL注入C.设计错误D.跨站脚本32.通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在?A.明文形式存在B.服务器加密后的密文形式存在C.Hasn运算后的消息摘要值存在D.用户自己加密后的密文形式存在33.下列对跨站脚本攻击(XSS )的描述正确的是:A.XSS攻击指的是恶意攻击在WEB页面里插入恶意代码, 当用户浏览该页面时嵌入其中WEB页面的代码会被执行,从而达到恶意攻击用户的特殊目的B.XSS攻击是 DOOS攻击的一种变种C.XSS 攻击就是CC攻击D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使HS 连接 X 超出限制,当CPU 耗尽,那么网站也就被
15、攻击垮了,从而达到攻击的目的。34.下列哪种恶意代码不具备“不感染、依附性”的特点?A.后门B.*门C.木马D.蠕虫35.下列关于计算机病毒感染能力的说法不正确的是A 能将自身代码注入到引导区B 能讲自身代码注入到扇区中的文件镜像C 能将自身代码注入文本中并执行D 能将自身文件注入到文档配置版的宏文件中36.Smurf 利用下列哪种协议进行攻击?A.ICMP B.IGMP C.TCP D.UDP 37.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接受者,这种情况属于哪一种攻击?A.重放攻击名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -
16、 - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 16 页 - - - - - - - - - 学习资料收集于网络,仅供参考学习资料B.Smurt 攻击C.字典攻击D.中间人攻击38.下列哪些措施不是有效的缓冲区溢出的防护措施?A.使用标准的C 语言字符串库进行操作B.严格验证输入字符串长度C.过滤不合规则的字符D.使用第三方安全的字符串库操作39.下面对 PDCA模型的解释不正确的是:A.通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动B.是一种可以应用于信息安全管理活动的持续改进的有效实践方法C.也被称为“戴明环”D.适用于对组织整体活
17、动的优化,不适合单个的过程以及个人40.风险评估方法的选定在PDCA循环中的哪个阶段完成?A.实施和运行B.保持和改进C.建立D.监视和评审41.在风险管理准备阶段“建立背景”(对象建立)过程中不用设置的是:A.分析系统的体系结构B.分析系统的安全环境C.制定风险管理计划D.调查系统的技术特性42.风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程。关于这些过程,以下的说法哪一个是正确的?A.风险分析准备的内容是识别风险的影响和可能性B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度C.风险分析的内容是识别风险的影响和可能性D.风险结果判定的内容是发
18、现系统存在的威胁、脆弱性和控制措施43.下列哪一项准确地描述了脆弱性、威胁、影响和风险之间的关系?A.脆弱性增加了威胁,威胁利用了风险并导致了影响B.风险引起了脆弱性并导致了影响,影响又引起了威胁C.风险允许威胁利用脆弱性,并导致了影响D.威胁利用脆弱性并产生影响的可能性称为风险,影响是威胁已造成损害的实例44.管理者何时可以根据风险分析结果对已识别的风险不采取措施?A.当必须的安全对策的成本高出实际风险的可能造成的潜在费用时B.当风险减轻方法提高业务生产力时名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -
19、- - - - - 第 6 页,共 16 页 - - - - - - - - - 学习资料收集于网络,仅供参考学习资料C.当引起风险发生的情况不在部门控制范围之内时D.不可接受45.以下选项中哪一项是对于信息安全风险采取的纠正机制?A.访问控制B.入侵检测C.灾难恢复D.防病毒系统46.下列对风险分析方法的描述正确的是:A.定量分析比定性分析方法使用的工具更多B.定性分析比定量分析方法使用的工具更多C.同一组织只用使用一种方法进行评估D.符合组织要求的风险评估方法就是最优方法47.下列哪种处置方法属于转移风险?A.部署综合安全审计系统B.对网络行为进行实时监控C.制订完善的制度体系D.聘用第三
20、方专业公司提供维护外包服务48.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负责最终责任?A.部门经理B.高级管理层C.信息资产所有者D.最终用户49.以下关于“最小特权”安全管理原则理解正确的是:A.组织机构内的敏感岗位不能由一个人长期负责B.对重要的工作进行分解,分配给不同人员完成C.一个人有且仅有其执行岗位所足够的许可和权限D.防止员工由一个岗位变动到另一个岗位,累积越来越多的权限50.在信息系统灾难恢复规范中,根据_要素, X灾难恢复等级划分为_X. A. 7;6 B. 8;7 C. 7;7 D. 8;6 51.灾难发生时,系统和数据必须恢复到的_为恢复点目标()A
21、. 时间要求B. 时间点要求C. 数据状态D. 运行状态名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 16 页 - - - - - - - - - 学习资料收集于网络,仅供参考学习资料52.根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:A.系统级演练、业务级演练、应用级演练B.系统级演练、应用级演练、业务级演练C.业务级演练、应用级演练、系统级演练D.业务级演练、系统级演练、应用级演练53.下面对能力成熟度模型解释最准确
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年CISP试题及答案-四套题 2022 CISP 试题 答案 四套
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内