CISP经典样题.docx

1. 某公司准备在业务环境中部署一种新的计算机产品，下列哪一项是授权过程的最后一步？A 认证B 定级C 认可D 识别2. 下列哪一项准确地描述了可信计算基（TCB）？A TCB只作用于固件（Firmware）B TCB描述了一个系统提供的安全级别C TCB描述了一个系统内部的保护机制D TCB通过安全标签来表示数据的敏感性3. 下列哪一项安全机制是一个抽象机，不但确保主体拥有必要的访问权限，而且确保对客体不会有未经授权的访问以及破坏性的修改行为？A 安全核心B 可信计算基C 引用监视器D 安全域4. 安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的“简单安全规则”？A Biba模型中的不允许向上写B Biba模型中的不允许向下读C Bell-LaPadula模型中的不允许向下写D Bell-LaPadula模型中的不允许向上读答案：D5. 为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪一项最好地描述了星或（*-）完整性原则？A Bell-LaPadula模型中的不允许向下写B Bell-LaPadula模型中的不允许向上读C Biba模型中的不允许向上写D Biba模型中的不允许向下读6. 某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？A Bell-LaPadula模型B Biba模型C 信息流模型D Clark-Wilson模型7. 作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？A 自主访问控制（DAC）B 强制访问控制（MAC）C 基于角色访问控制（RBAC）D 最小特权（Least Privilege）8. 下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？A 强制访问控制（MAC）B 集中式访问控制（Decentralized Access Control）C 分布式访问控制（Distributed Access Control）D 自主访问控制（DAC）9. 下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能？A 系统认证和完整性，完整性，真实性和完整性，机密性和完整性B 用户认证和完整性，完整性，真实性和完整性，机密性C 系统认证和完整性，完整性，真实性和完整性，机密性D 系统认证和完整性，完整性和机密性，真实性和完整性，机密性10. IPSec中包括AH（认证头）和ESP（封装安全载荷）这2个主要协议，其中AH提供下列哪些功能？A 机密性与认证B 机密性与可靠性C 完整性与可靠性D 完整性与认证11. 关于对称加密算法和非对称加密算法，下列哪一种说法是正确的？A 对称加密算法更快，因为使用了替换密码和置换密码B 对称加密算法更慢，因为使用了替换密码和置换密码C 非对称加密算法的密钥分发比对称加密算法更困难D 非对称加密算法不能提供认证和不可否认性12. 数字签名不能提供下列哪种功能？A 机密性B 完整性C 真实性D 不可否认性13. 电子邮件的机密性与真实性是通过下列哪一项实现的？A 用发送者的私钥对消息进行签名，用接收者的公钥对消息进行加密B 用发送者的公钥对消息进行签名，用接收者的私钥对消息进行加密C 用接收者的私钥对消息进行签名，用发送者的公钥对消息进行加密D 用接收者的公钥对消息进行签名，用发送者的私钥对消息进行加密14. 下列哪一项不属于公钥基础设施（PKI）的组件？A CRLB RAC KDCD CA15. 如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于那一种攻击？A 重放攻击B Smurf攻击C 字典攻击D 中间人攻击16. 一个典型的公钥基础设施（PKI）的处理流程是下列选项中的哪一个？（1）接收者解密并获取会话密钥（2）发送者请求接收者的公钥（3）公钥从公钥目录中被发送出去（4）发送者发送一个由接收者的公钥加密过的会话密钥A4，3，2，1B2，1，3，4C2，3，4，1D2，4，3，117. 下列哪一项最好地描述了SSL连接机制？A 客户端创建一个会话密钥并用一个公钥来加密这个会话密钥B 客户端创建一个会话密钥并用一个私钥来加密这个会话密钥C 服务器创建一个会话密钥并用一个公钥来加密这个会话密钥D 服务器创建一个会话密钥并用一个私钥来加密这个会话密钥18. 一名攻击者试图通过暴力攻击来获取下列哪一项信息？A 加密密钥B 加密算法C 公钥D 密文答案：A19. 不同类型的加密算法使用不同类型的数学方法，数学方法越复杂，计算所需要的资源就越高。下列哪一种非对称加密算法因需要最少的资源而具有最高效率？A RSAB ECCC BlowfishD IDEA20. 在对消息的发送者进行认证时，下列哪一项安全机制是最可靠的？A 数字签名B 非对称加密算法C 数字证书D 消息认证码21. TACACS+协议提供了下列哪一种访问控制机制？A 强制访问控制B 自主访问控制C 分布式访问控制D 集中式访问控制22. 下列哪一项能够被用来检测过去没有被识别过的新型攻击？A 基于特征的IDSB 基于知识的IDSC 基于行为的IDSD 专家系统23. 下列哪种类型的IDS能够监控网络流量中的行为特征，并能够创建新的数据库？A 基于特征的IDSB 基于神经网络的IDSC 基于统计的IDSD 基于主机的IDS24. 访问控制模型应遵循下列哪一项逻辑流程？A 识别，授权，认证B 授权，识别，认证C 识别，认证，授权D 认证，识别，授权25. 在对生物识别技术中的错误拒绝率（FRR）和错误接收率（FAR）的定义中，下列哪一项的描述是最准确的？A FAR属于类型I错误，FRR属于类型II错误B FAR是指授权用户被错误拒绝的比率，FRR属于类型I错误C FRR属于类型I错误，FAR是指冒充者被拒绝的次数D FRR是指授权用户被错误拒绝的比率，FAR属于类型II错误26. 某单位在评估生物识别系统时，对安全性提出了非常高的要求。据此判断，下列哪一项技术指标对于该单位来说是最重要的？A 错误接收率（FAR）B 平均错误率（EER）C 错误拒绝率（FRR）D 错误识别率（FIR）27. 下列哪种方法最能够满足双因子认证的需求？A 智能卡和用户PINB 用户ID与密码C 虹膜扫描和指纹扫描D 磁卡和用户PIN28. 在Kerberos结构中，下列哪一项会引起单点故障？AE-Mail服务器B客户工作站C应用服务器D密钥分发中心（KDC）29. 在下列哪一项访问控制技术中，数据库是基于数据的敏感性来决定谁能够访问数据？A 基于角色访问控制B 基于内容访问控制C 基于上下文访问控制D 自主访问控制30. 从部署结构来看，下列哪一种类型的防火墙提供了最高安全性？A 屏蔽路由器B 双宿堡垒主机C 屏蔽主机防火墙D 屏蔽子网防火墙31. 下列哪一项能够最好的保证防火墙日志的完整性？A 只授予管理员访问日志信息的权限B 在操作系统层获取日志事件C 将日志信息传送到专门的第三方日志服务器D 在不同的存储介质中写入两套日志32. 数据库管理员在检查数据库时发现数据库的性能不理想，他准备通过对部分数据表实施去除规范化（denormanization）操作来提高数据库性能，这样做将增加下列哪项风险？A 访问的不一致B 死锁C 对数据的非授权访问D 数据完整性的损害33. 下列哪一项不是一种预防性物理控制？A 安全警卫B 警犬C 访问登记表D 围栏34. 当一名入侵者紧跟着一位授权人员，在没有经过访问控制系统认证的情况下通过入口的行为称为：A 冒充B 尾随C 截获D 欺骗35. 在数据中心环境中，下列哪一种灭火系统最应该被采用？A 干管喷淋灭火系统B 湿管喷淋灭火系统C Halon灭火系统D 二氧化碳气体36. 执行一个Smurf攻击需要下列哪些组件？A 攻击者，受害者，放大网络B 攻击者，受害者，数据包碎片，放大网络C 攻击者，受害者，数据包碎片D 攻击者，受害者，带外数据37. 下列哪种渗透性测试对有效的评估一个组织对事件处理和响应的能力？A目标测试B外部测试C内部测试D双盲测试38. 下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系？A 脆弱性增加了威胁，威胁利用了风险并导致了暴露B 风险引起了脆弱性并导致了暴露，暴露又引起了威胁C 暴露允许威胁利用脆弱性，并导致了风险D 威胁利用脆弱性并产生影响的可能性称为风险，暴露是威胁已造成损害的实例39. 某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？A 部门经理B 高级管理层C 信息资产所有者D 最终用户40. 下列哪一项最准确地描述了定量风险分析？A 通过基于场景的分析方法来研究不同的安全威胁B 一种将潜在的损失以及进行严格分级的分析方法C 在风险分析时，将货币价值赋给信息资产D 一种基于主观判断的风险分析方法41. 为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成？A 确保风险评估过程是公平的B 因为风险正是由于这些来自不同部门的人员所引起的，因此他们应该承担风险评估的职责C 因为不同部门的人员对本部门所面临的风险最清楚，由此进行的风险评估也最接近于实际情况D 风险评估团队不应该由来自不同部门的人员组成，而应该由一个来自公司外部的小型团队组成42. 下列哪一项准确定义了安全基线？A 指明应该做什么和不应该做什么的规定B 最低水平的安全需求C 安全措施的操作手册D 安全建议43. 组织在实施与维护信息安全的流程中，下列哪一项不属于高级管理层的职责？A 明确的支持B 执行风险分析C 定义目标和范围D 职责定义与授权44. 实施安全程序能够加强下列所有选项，除了：A 数据完整性B 安全意识教育C 数据准确性DE 保护资产45. 下列哪一项准确地描述了标准、基线、指南和规程的定义？A 标准是完成某项任务的详细步骤，规程是建议性的操作指导B 基线是强制性的规定，指南是建议性的操作指导C 标准是强制性的规定，规程是完成某项任务的详细步骤D 规程是建议性的操作指导，基线是必须具备的最低安全水平46. 剩余风险应该如何计算？A 威胁风险资产价值B （威胁资产价值脆弱性）风险C 单次损失值频率D （威胁脆弱性资产价值）控制空隙47. 下列哪一项准确地定义了风险评估中的三个基本步骤？A（1）识别风险；（2）评估风险；（3）消减风险。B（1）资产赋值；（2）风险分析；（3）防护措施。C（1）资产赋值；（2）识别风险；（3）评估风险。D（1）识别风险；（2）资产赋值；（3）消减风险。48. 对于在风险评估过程中发现的风险，下列哪一项不是适当的风险处置措施？A 消减风险B 接受风险C 忽略风险D 转移风险49. 某公司正在对一台关键业务服务器进行风险评估：该服务器价值138000元，针对某个特定威胁的暴露因子（EF）是45%，该威胁的年度发生率（ARO）为每10年发生1次。根据以上信息，该服务器的年度预期损失值（ALE）是多少？A1800元B62100元C140000元D6210元50. 下列哪一项最准确地描述了灾难恢复计划（DRP）应该包括的内容？A 硬件，软件，人员，应急流程，恢复流程B 人员，硬件，备份站点C 硬件，软件，备份介质，人员D 硬件，软件，风险，应急流程51. 某公司在执行灾难恢复测试时，信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢，为了找到根本原因，他应该首先检查：A 灾难恢复站点的错误事件报告B 灾难恢复测试计划C 灾难恢复计划(DRP)D 主站点和灾难恢复站点的配置文件52. 为了达到组织灾难恢复的要求，备份时间间隔不能超过：A服务水平目标(SLO)B恢复时间目标 (RTO)C恢复点目标 (RPO)D停用的最大可接受程度 (MAO)53. 某公司正在进行IT系统灾难恢复测试，下列问题中的哪个最应该引起关注：A由于有限的测试时间窗，仅仅测试了最必须的系统，其他系统在今年的剩余时间里陆续单独测试B在测试过程中，有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败C在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间D每年都是由相同的员工执行此测试，由于所有的参与者都很熟悉每一个恢复步骤，因而没有使用灾难恢复计划（DRP）文档54. 为了优化组织的业务持续计划（BCP），信息安全专业人员应该建议执行业务影响分析（BIA）来确定：A能为组织产生最大财务价值，因而需要最先恢复的业务流程B. 为保证与组织业务战略相一致，业务流程恢复的优先级和顺序C. 在灾难中能保证组织生存而必须恢复的业务流程D. 能够在最短的时间内恢复最多系统的业务流程恢复顺序55. 当一个关键文件服务器的存储增长没有被合理管理时，以下哪一项是最大的风险？A备份时间会稳定增长B备份成本会快速增长C存储成本会快速增长D服务器恢复工作不能满足恢复时间目标（RTO）的要求56. 在CMM标准中，哪一个等级表明组织在软件开发过程中已经建立了定量的质量指标？A 可重复级B 已定义级C 已管理级D 优化级57. 在软件开发过程中，为了让程序内部接口错误能够被尽早发现，下列哪一种测试方法是最有效的？A 自底向上测试B 白盒测试C 自顶向下测试D 黑盒测试58. 在ISO 27001-2005中，制定风险处置计划应该在PDCA的哪个阶段进行？A PlanB DoC CheckD Act59. 在通用准则（CC）中，是按照下列哪一类评测等级对产品进行评测的？A PPB EPLC EALD TCB60. 在可信计算机系统评估准则（TCSEC）中，下列哪一项是满足强制保护要求的最低级别？A C2B C1C B2D B161. 信息安全评估保障分为七级，其中描述不正确的是：AEAL1功能测试级 B、EAL2结构测试级CEAL3方法测试和校验级 DEAL4半形式化设计和测试级 62. 对于网络风险控制模型中，描述正确的是： A检查 分析 计划 实施 总结 B监控 识别 分析 计划 实施 C检查 分析 监控 预算 实施 D监控 识别 计划 执行 总结63. 信息系统是在信息技术系统的基础上，综合考虑了（ ）等系统综合运行环境的一个整体。 A人员 B网络 C管理 D系统 64. Clark-Wilson模型可以满足所有三个完整性安全目标，哪一个是错误的： A防止授权用户不适当的修改 B防止非授权用户进行篡改 C维持内部和外部的一致性 D保障数据和程序安全 65. VPN为相关企业解决很大问题，哪一项VPN实现不了？A节约成本B保证数据安全性C保证网络安全性D对VPN内数据进行加密 66. 在国家标准中，属于强制性标准的是？AGB/T XXXX.X-200X BGB XXXX-200XCDBXX/T XXX-200X DQXXX-XXX-200X 67. 中国信息安全产品测评认证中心是哪一年成立的？A1997B1998C1999D200168. 信息安全技术体系架构能力成熟度分为五个级别，其中描述正确的是？A能力级别1：未实施B能力级别2：非规范化设计、基本执行级C能力级别3：文档化设计、规范定义级D能力级别4：半形式化设计、测试验证级69. 以下哪个不是防火墙能实现的功能？A阻断内外网的访问B阻断内外网的病毒C记录并监控所有通过防火墙的数据D保护DMZ服务区的安全70. 在OSI参考模型中，主要针对远程终端访问，任务包括会话管理、传输同步以及活动管理等是以下那一层？A应用层B物理层C会话层D网络层71. 以下哪个不是防火墙具备的？A防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。B它是不同网络（安全域）之间的唯一出入口C能根据企业的安全政策控制（允许 、拒绝 、 监测）出入网络的信息流D具有很高的抗病毒能力72. 防火墙功能是？A过滤进、出网络的数据B管理进、出网络的访问行为C记录通过防火墙的信息内容和活动D对网络攻击的检测和告警73. UDP是传输层重要协议之一，哪一个描述是正确的？A基于UDP的服务包括FTP、HTTP、TELNET等B基于UDP的服务包括NIS、NFS、NTP及DNS等CUDP的服务具有较高的安全性DUDP的服务是面向连接的，保障数据可靠74. 防火墙的发展历程，以下哪一个顺序是正确的？A具有安全操作系统的防火墙基于路由器的防火墙用户化的防火墙工具套建立在通用操作系统上的防火墙B建立在通用操作系统上的防火墙基于路由器的防火墙用户化的防火墙工具套具有安全操作系统的防火墙C基于路由器的防火墙用户化的防火墙工具套建立在通用操作系统上的防火墙具有安全操作系统的防火墙D用户化的防火墙工具套基于路由器的防火墙建立在通用操作系统上的防火墙具有安全操作系统的防火墙75. 不属于DDOS攻击的是：ASyn FloodBTrinooCStacheldrahtDFunTime Apocalypse76. 下列对XSS攻击描述正确的是：AXSS攻击指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。BXSS攻击是DDOS攻击的一种变种CXSS攻击就是CC攻击DXSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使IIS 连接数超出限制，当CPU 资源或者带宽资源耗尽，那么网站也就被攻击垮了，从而达到攻击目的77. 下列信息系统安全说法正确的是：A加固所有的服务器和网络设备就可以保证网络的安全B只要资金允许就可以实现绝对的安全C断开所有的服务可以保证信息系统的安全D信息系统安全状态会随着业务系统的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略78. 下列对防火墙的概念描述正确的是A防火墙就是一个访问控制设备只能对网络协议进行阻断B路由器的ACL列表就可以当成一台防火墙C防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合D防火墙软件防火墙和硬件防火墙之分79. 信息安全等级保护分级要求分为几级A2级B3级C4级D5级80. 信息安全等级保护分级要求，第一级适用正确的是A适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害B适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害C适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益D适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害81. 信息安全等级保护技术要求的三种类型是A业务数据安全类、业务处理连续类、通用安全保护类B主机业务类、数据传输类、网络服务器类C业务数据安全类、网络数据传输类、通用安全保护类D主机业务安全类、业务处理连续类、通用安全保护类82. 信息安全等级保护技术里对信息系统描述正确的是A基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系B由某个信息系统的一部分组件构成，能够完成特定工作的系统C对信息系统进行保护，保证业务数据不被非授权修改或泄漏，保证业务处理过程不被破坏或拒绝而导致业务中断D为确保信息系统具有与其安全保护等级相对应的安全保护能力应该满足的最低要求83. 等级保护目标是A明确安全等级保护的对象后，需要根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；信息系统必须要达到的基本的安全保护水平等因素确定信息系统的安全保护等级B信息安全等级保护的主要对象是信息和信息系统，等级保护工作涉及到三个方面，即对信息系统分等级实行安全保护、对信息系统中使用的信息安全产品实行按等级管理、对信息系统中发生的信息安全事件分等级响应、处置C实行等级保护的总体目标是为了统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展，完善我国信息安全法规和标准体系；提高我国信息安全和信息系统安全建设的整体水平。对信息系统实施安全等级保护的目标是充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到对信息系统有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理D信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级84. 等级保护定级阶段主要包括哪两个步骤A系统识别与描述、等级确定B系统描述、等级确定C系统识别、系统描述D系统识别与描述、等级分级85. 等级保护规划与设计阶段主要包括哪三个步骤A系统分域保护框架建立、选择和调整安全措施、安全规划和方案设计B系统分域保护框架建立、选择和调整安全措施、安全规划C系统分域保护框架建立、选择和调整安全措施、方案设计D系统分域保护框架建立、调整安全措施、安全规划和方案设计86. 在TCP/IP模型中应用层对应OSI模型的哪些（个）层：A. 应用层B. 应用层、表示层C. 应用层、表示层、会话层D. 应用层、表示层、会话层、传输层87. 在计算机网络地址的规范中，B类网络的子网掩码是多少位：A. 8B. 16C. 18D. 2488. 下列那个协议哪个既是面向连接的又能提供可靠（错误恢复）传输：A. TCPB. UDPC. IPD. 帧中继VC89. 在计算机网络布线工程中T568B的线序在RJ45接头中的针脚从1-8分别是：A. 白橙、橙、白绿、白蓝、蓝、绿、白棕、棕B. 白橙、橙、白绿、蓝、白蓝、绿、白棕、棕C. 白绿、绿、白橙、蓝、白蓝、橙、白棕、