CISP整理试题及答案

1、1.在橙皮书的概念中，信任是存在于以下哪一项中的？A.操作系统B. 网络C. 数据库D. 应用程序系统答案：A2. 下述攻击手段中不属于口0敢击的是：（）A.Smurf攻击B.Land攻击C.Teardrop攻击D.CGI溢出攻击答案：D。3. “中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为：（）A.“普密”、“商密”“商密”两个级别B.“低级”和“高级”两个级别“高级”两个级别C.“绝密”、“机密”、“秘密”“机密”三个级别D.“一密”、“二密”、“三密”、“四密”四个级别“一密”、“三密”、“四密”四个级别答案：C。4.应用软件测试的正确顺序是：A.集

2、成测试、单元测试、系统测试、验收测试单元测试、系统测试、验收测试B.单元测试、系统测试、集成测试、验收测试系统测试、集成测试、验收测试C.验收测试、单元测试、集成测试、系统测试单元测试、集成测试、系统测试D.单元测试、集成测试、系统测试、验收测试集成测试、系统测试、验收测试答案：选项D。5. 多层的楼房中，最适合做数据中心的位置是：A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层答案：D。6. 随着全球信息化的发展，信息安全成了网络时代的热点，为了保证我国信息产业的发展与安全，必须加强对信息安全产品、系统、服务的测评认证，中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测

3、评认证实体机构，以下对其测评认证工作的错误认识是：A. 测评与认证是两个不同概念，信息安全产品或系统认证需经过申请、测试、评估，认证一系列环节。B. 认证公告将在一些媒体上定期发布，只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。答案：D。7. 计算机安全事故发生时，下列哪些人不被通知或者最后才被通知：A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件厂商答案：B。8. 下面的哪种组合都属于多边安全模型？A.TCSE

4、C和Bell-LaPadulaB.ChineseWall和BMAC.TCSEC和Clark-WilsonD.ChineseWall和Biba答案：B。9. 下面哪种方法可以替代电子银行中的个人标识号（PINs）的作用？A. 虹膜检测技术B. 语音标识技术C. 笔迹标识技术D. 指纹标识技术答案：A。10. 拒绝服务攻击损害了信息系统的哪一项性能？B.A.完整性可用性C.保密性D.可靠性答案：B。11. 下列哪一种模型运用在JAVA安全模型中:A.白盒模型B.黑盒模型C.沙箱模型D.灰盒模型答案：C。12. 以下哪一个协议是用于电子邮件系统的？A.X.25B.X.75C.X.400D.X.500

5、答案：C。13.“如果一条链路发生故障，那么只有和该链路相连的终端才会受到影响”，这一说法是适合于以下哪一种拓扑结构的网络的?A.星型B.树型C.环型D.复合型答案：A。14. 在一个局域网的环境中，其内在的安全威胁包括主动威胁和被动威胁。以下哪一项属于被动威胁？A. 报文服务拒绝B. 假冒C. 数据流分析D. 报文服务更改答案：C。15. ChineseWall模型的设计宗旨是：A. 用户只能访问那些与已经拥有的信息不冲突的信息B. 用户可以访问所有信息C. 用户可以访问所有已经选择的信息D. 用户不可以访问那些没有选择的信息答案：A。16. ITSEC中的F1-F5对应TCSEW哪几个级别

6、？A. D到B2B. C2到B3C. C1到B3D. C2到A1答案：C。17. 下面哪一个是国家推荐性标准？A. GB/T18020-1999应用级防火墙安全技术要求B. SJ/T30003-93电子计算机机房施工及验收规范C. GA243-2000计算机病毒防治产品评级准则D. ISO/IEC15408-1999信息技术安全性评估准则答案：A。18. 密码处理依靠使用密钥，密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥？A. 对称的公钥算法B. 非对称私钥算法C. 对称密钥算法D. 非对称密钥算法答案：C。19. 在执行风险分析的时候，预期年度损失（ALE

7、）的计算是：A. 全部损失乘以发生频率B. 全部损失费用+实际替代费用C. 单次预期损失乘以发生频率D. 资产价值乘以发生频率答案：C。20.作为业务持续性计划的一部分，在进行风险评价的时候的步骤是：1.2.3.考虑可能的威胁建立恢复优先级评价潜在的影响4.A.B.C.D.答案：评价紧急性需求1-3-4-21-3-2-41-2-3-41-4-3-2A。21. CC中安全功能/保证要求的三层结构是（按照由大到小的顺序）A. 类、子类、组件B. 组件、子类、元素C. 类、子类、元素D. 子类、组件、元素答案：A。以及：22. 有三种基本的鉴别的方式:你知道什么，你有什么，A. 你需要什么B. 你看

8、到什么C. 你是什么D. 你做什么答案：C。23.为了有效的完成工作，信息系统安全部门员工最需要以下哪一项技能？A.人际关系技能B.项目管理技能C.技术技能D.沟通技能答案：D。24.以下哪一种人给公司带来了最大的安全风险？A.临时工B.咨询人员C.以前的员工D.当前的员工答案：D。25.SSL提供哪些协议上的数据安全:A.HTTPFTP和TCP/IPB.SKIP，SNMP和IPC.UDP，VPN和SONETD.PPTPDMI和RC4答案：A。26.在Windows2000中可以察看开放端口情况的是：A.nbtstatB.netC.netshowD.netstat答案：D。27.SMTP1接服

9、务器使用端口A.21B.25C.80D.110答案：选项B28.在计算机中心，下列哪一项是磁介质上信息擦除的最彻底形式A.清除B.净化C.删除D.破坏29.以下哪一种算法产生最长的密钥？A.Diffe-HellmanB.DESC.IDEAD.RSA答案：D。30.下面哪一种风险对电子商务系统来说是特殊的？A.服务中断B.应用程序系统欺骗C.未授权的信息泄漏D.确认信息发送错误答案：D。31.以下哪一项不属于恶意代码？A.病毒B.蠕虫C.宏D.特洛伊木马答案：C。32.下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM的主要过程:A.风险过程B.保证过程C.工程过程D.评估过程答案：D3

10、3.目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多门，计算机信息系统国际联网保密管理规定是由下列哪个部门所制定的规章制度？A.公安部B.国家保密局C.信息产业部D.国家密码管理委员会办公室答案：B。34. 为了保护DNS的区域彳专法(zonetransfer)，你应该配置防火墙以阻止1.UDP2.TCP3.534.52A.1，3B.2，3C.1，4D.2，4答案：B。35. 在选择外部供货生产商时，评价标准按照重要性的排列顺序是：1. 供货商与信息系统部门的接近程度2. 供货商雇员的态度3. 供货商的信誉、专业知识、技术4. 供货商的财政状况和管理情况A.4，3

11、，1，2B.3，4，2，1C.3，2，4，1D.1，2，3，4答案：B36. 机构应该把信息系统安全看作：A.业务中心B.风险中心C.业务促进因素D.业务抑制因素答案：C。37. 输入控制的目的是确保：A.对数据文件访问的授权B.对程序文件访问的授权C.完全性、准确性、以及更新的有效性D.完全性、准确性、以及输入的有效性答案：选项D。38. 以下哪个针对访问控制的安全措施是最容易使用和管理的？A.密码B.加密标志C.硬件加密D.加密数据文件答案：C。39. 下面哪种通信协议可以利用IPSEC的安全功能?I. TCPII. UDPIII. FTPA. 只有IB. I和IIC. II和IIID.

12、IIIIII答案：D。40. 以下哪一种模型用来对分级信息的保密性提供保护？A.Biba模型和Bell-LaPadula模型B.Bell-LaPadula模型和信息流模型C.Bell-LaPadula模型和Clark-Wilson模型D.Clark-Wilson模型和信息流模型答案：B。41. 下列哪一项能够提高网络的可用性？A.数据冗余B.链路冗余C.软件冗余D.电源冗余答案：选项B。42. 为了阻止网络假冒，最好的方法是通过使用以下哪一种技术？A.回拨技术B.呼叫转移技术C.只采用文件加密D.回拨技术加上数据加密答案：D。43. 一下那一项是基于一个大的整数很难分解成两个素数因数？A.EC

13、CB.RSAC.DESD.Diffie-Hellman答案：B。44. 下面哪一项是对IDS的正确描述？A. 基于特征(Signature-based)的系统可以检测新的攻击类型B. 基于特征(Signature-based)的系统比基于行为(behavior-based)的系统产生更多的误报C. 基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配D. 基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报答案：D。45. ISO9000标准系列着重于以下哪一个方面？A. 产品B. 加工处理过程C. 原材料D

14、. 生产厂家答案：B46. 下列哪项是私有IPA.B.C.D.答案：A47.以下哪一项是和电子邮件系统无关的？A. PEM(Privacyenhancedmail)B. PGP(Prettygoodprivacy)C.X.500D.X.400答案：C。48. 系统管理员属于A.决策层B.管理层C.执行层D.既可以划为管理层，又可以划为执行层答案：C。49. 为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？A.进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码B.进行离职谈

15、话，禁止员工账号，更改密码C.让员工签署跨边界协议D.列出员工在解聘前需要注意的所有责任答案：A。50. 职责分离是信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背？A.数据安全管理员B.数据安全分析员C.系统审核员D.系统程序员答案：D。51. 下面哪一种攻击方式最常用于破解口令？A. 哄骗(spoofing)B. 字典攻击(dictionaryattack)C. 拒绝服务(DoS)D. WinNuk答案：B。5

16、2. 下面哪一项组成了CIA三元组？A.保密性，完整性，保障B.保密性，完整性，可用性C.保密性，综合性，保障D.保密性，综合性，可用性答案：B。53. Intranet没有使用以下哪一项？A.Java编程语言B.TCP/IP协议C.公众网络D.电子邮件答案：C。54. TCP三次握手协议的第一步是发送一个A.SYN包B.ACK包C.UDP包D.null包答案：A。55. 在企业内部互联网中，一个有效的安全控制机制是：A.复查B.静态密码C.防火墙D.动态密码答案：C。56. 从安全的角度来看，运行哪一项起到第一道防线的作用：A.远端服务器B.Web服务器C.防火墙D.使用安全shell程序答

17、案：C。57. 对于一个机构的高级管理人员来说，关于信息系统安全操作的最普遍的观点是：A.费用中心B.收入中心C.利润中心D.投资中心答案：A。58.一个数据仓库中发生了安全性破坏。以下哪一项有助于安全调查的进行？A.访问路径B.时戳C.数据定义D.数据分类答案：B。59. 在客户/服务器系统中，安全方面的改进应首先集中在：A.应用软件级B.数据库服务器级C.数据库级D.应用服务器级答案：选项C。60. 下面哪种方法产生的密码是最难记忆的？A.将用户的生日倒转或是重排B.将用户的年薪倒转或是重排C.将用户配偶的名字倒转或是重排D.用户随机给出的字母答案：D。61. 从风险分析的观点来看，计算机

18、系统的最主要弱点是：A.内部计算机处理B.系统输入输出C.通讯和网络D.外部计算机处理答案：B。62. 下列哪一个说法是正确的？A.风险越大，越不需要保护B.风险越小，越需要保护C.风险越大，越需要保护D.越是中等风险，越需要保护答案：C。63. 在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性。以下哪一层提供了抗抵赖性？A.表示层B.应用层C.传输层D.数据链路层答案：B64. 保护轮廓（PP）是下面哪一方提出的安全要求?A.评估方B.开发方C.用户方D.制定标准方65. 在信息安全策略体系中，下面哪一项属于计算机或信息安全的强制性规则？A. 标准(Standard)

19、B. 安全策略(Securitypolicy)C. 方针(Guideline)D. 流程(Procedure)答案：A。66. 软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。以下哪一项是这种情况面临的最主要风险？A. 软件中止和黑客入侵B. 远程监控和远程维护C. 软件中止和远程监控D. 远程维护和黑客入侵答案：A。67. 从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该：A. 内部实现B. 外部采购实现C. 合作实现D. 多来源合作实现答案：选项A。68. 操作应用系统由于错误发生故障。下列哪个控制是最没有用的

20、？A.错误总计B.日志C.检查点控制D.恢复记录答案：选项A。69. 在许多组织机构中，产生总体安全性问题的主要原因是：A. 缺少安全性管理B. 缺少故障管理C. 缺少风险分析D. 缺少技术控制机制答案：A。70. 如果对于程序变动的手工控制收效甚微，以下哪一种方法将是最有效的？A.自动软件管理B.书面化制度C.书面化方案D.书面化标准答案：A。71. 以下人员中，谁负有决定信息分类级别的责任？A.用户B.数据所有者C.审计员D.安全官答案：B。72. 当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？A.已买的软件B.定做的软件C.硬件D.数据答案：D。73. 以下哪一项安全目标在当前

21、计算机系统安全建设中是最重要的？A. 目标应该具体B. 目标应该清晰C. 目标应该是可实现的D. 目标应该进行良好的定义答案：C。74. 哪一项描述了使用信息鉴权码(MAC和数字签名之间的区别？A. 数字签名通过使用对称密钥提供系统身份鉴别。B. 数据来源通过在MAC中使用私钥来提供。C. 因为未使用私钥，MAC只能提供系统鉴别而非用户身份鉴别。D数字签名使用私钥和公钥来提供数据来源和系统及用户鉴别。答案：C。）的？75在桔皮书（theOrangeBook）中，下面级别中哪一项是第一个要求使用安全标签（securitylabelAB3BB2CC2DD答案：B。76数据库视图用于?A确保相关完整

22、性B方便访问数据C限制用户对数据的访问D提供审计跟踪答案：C。77下面哪一项最好地描述了风险分析的目的？A识别用于保护资产的责任义务和规章制度B识别资产以及保护资产所使用的技术控制措施C识别资产、脆弱性并计算潜在的风险D识别同责任义务有直接关系的威胁答案：C。78KerBeros算法是一个A面向访问的保护系统B面向票据的保护系统C面向列表的保护系统D面向门与锁的保护系统答案：B。79下面哪一项不是主机型入侵检测系统的优点？A性能价格比高B视野集中C敏感细腻D占资源少答案：D。80以下哪一项是伪装成有用程序的恶意软件？A计算机病毒B特洛伊木马C逻辑炸弹D蠕虫程序答案：B。81计算机病毒会对下列计

23、算机服务造成威胁，除了：A完整性B有效性C保密性D可用性答案：C。82以下哪一种局域网传输媒介是最可靠的？A同轴电缆B光纤C双绞线（屏蔽）D双绞线（非屏蔽）答案：B。83以下哪一项计算机安全程序的组成部分是其它组成部分的基础？A制度和措施B漏洞分析C意外事故处理计划D采购计划答案：A。84. 描述系统可靠性的主要参数是：A. 平均修复时间和平均故障间隔时间B. 冗余的计算机硬件C. 备份设施D. 应急计划答案：A。85. 对不同的身份鉴别方法所提供的防止重用攻击的功效，按照从大到小的顺序，以下排列正确的是：A. 仅有密码，密码及个人标识号（PIN），口令响应，一次性密码B. 密码及个人标识号（

24、PIN），口令响应，一次性密码，仅有密码C. 口令响应，一次性密码，密码及个人标识号（PIN），仅有密码D. 口令响应，密码及个人标识号（PIN），一次性密码，仅有密码答案：C。86. 密码分析的目的是什么？A. 确定加密算法的强度B. 增加加密算法的代替功能C. 减少加密算法的换位功能D. 确定所使用的换位答案：A。87. RSAtDSA相比的优点是什么？A. 它可以提供数字签名和加密功能B. 由于使用对称密钥它使用的资源少加密速度快C. 前者是分组加密后者是流加密D. 它使用一次性密码本答案：A。88. 按照SSE-CM，M能力级别第三级是指：A.定量控制B.计划和跟踪C.持续改进D.充分定义答案：D。89. 下面选项中不属于数据库安全模型的是：A. 自主型安全模型B. 强制型安全模型C. 基于角色的模型D. 访问控制矩阵答案：C