CISP認(rèn)證考試試題（1）

對(duì)于已經(jīng)在備考CISP考試的考生而言，多做試題會(huì)很有幫助，很多知識(shí)點(diǎn)都會(huì)體現(xiàn)在習(xí)題里面，所以考生的訓(xùn)練量需要很多?？荚噧?nèi)容是100個(gè)單項(xiàng)選擇題，70分及以上算通過。下面是有關(guān)CISP認(rèn)證考試試題內(nèi)容，希望可以幫到各位。

1.依據(jù)標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評(píng)估框架》，信息系統(tǒng)安全目標(biāo)(ISST)中，安全保障目的指的是：

A．信息系統(tǒng)安全保障目的

B．環(huán)境安全保障目的

C．信息系統(tǒng)安全保障目的和環(huán)境安全保障目的

D．信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的

2.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子？

A．某網(wǎng)站在訪問量突然增加時(shí)對(duì)用戶連接數(shù)量進(jìn)行了限制，保證已登錄的用戶可以完成操作

B．在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對(duì)該用戶的賬戶余額進(jìn)行了沖正操作

C．某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對(duì)核心交換機(jī)進(jìn)行了什么操作

D．李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看

3.進(jìn)入21世紀(jì)以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點(diǎn)，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說法不正確的是：

A．與安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點(diǎn)

B．美國尚未設(shè)立中央政府級(jí)的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政府部門的多個(gè)機(jī)構(gòu)共同承擔(dān)

C．各國普遍重視信息安全事件的應(yīng)急響應(yīng)和處理

D．在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強(qiáng)調(diào)加強(qiáng)政府管理力度，充分利用社會(huì)資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系

4.與PDR模型相比，P2DR模型多了哪一個(gè)環(huán)節(jié)？

A．防護(hù)

B．檢測(cè)

C．反應(yīng)

D．策略

5.以下關(guān)于項(xiàng)目的含義，理解錯(cuò)誤的是：

A．項(xiàng)目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。

B．項(xiàng)目有明確的開始日期，結(jié)束日期由項(xiàng)目的管理者根據(jù)項(xiàng)目進(jìn)度來隨機(jī)確定。

C．項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。

D．項(xiàng)目目標(biāo)要遵守SMART原則，即項(xiàng)目的目標(biāo)要求具體(Specific)、可測(cè)量（Measurable)、需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(shí)(Realistic)、有一定的時(shí)限(Timeoriented)

6.2008年1月2日，美目發(fā)布第54號(hào)總統(tǒng)令，建立網(wǎng)絡(luò)安全綜合計(jì)劃（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI計(jì)劃建立三道防線：第一道防線，減少漏洞和隱患，預(yù)防入侵；第二道防線，全面應(yīng)對(duì)各類威脅；第三道防線，強(qiáng)化未來安全環(huán)境．從以上內(nèi)容，我們可以看出以下哪種分析是正確的：

A．CNCI是以風(fēng)險(xiǎn)為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)

B.從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的

C．CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)

D．CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn)，而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障

7.下列對(duì)于信息安全保障深度防御模型的說法錯(cuò)誤的是：

A．信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、安全的一個(gè)重要組成部分，因此對(duì)信息安全的討論必須放在政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。

B．信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。

C．信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系也是信息安全保障的重要組成部分。

D．信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”

8.某用戶通過賬號(hào)、密碼和驗(yàn)證碼成功登錄某銀行的個(gè)人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一類：

A．個(gè)人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別

B．由可信第三方完成的用戶身份鑒別

C．個(gè)人網(wǎng)銀系統(tǒng)對(duì)用戶身份的單向鑒別

D．用戶對(duì)個(gè)人網(wǎng)銀系統(tǒng)合法性的單向鑒別

9.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)出明文。以下說法正確的是：

A．此密碼體制為對(duì)稱密碼體制

B．此密碼體制為私鑰密碼體制

C．此密碼體制為單鑰密碼體制

D．此密碼體制為公鑰密碼體制

10.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：

A．用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別

B．用戶使用個(gè)人指紋，通過指紋識(shí)別系統(tǒng)的身份鑒別

C．用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別

D．用戶使用集成電路卡(如智能卡)完成身份鑒別

11.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法？

A．實(shí)體“所知”以及實(shí)體“所有”的鑒別方法

B．實(shí)體“所有”以及實(shí)體“特征”的鑒別方法

C．實(shí)體“所知”以及實(shí)體“特征”的鑒別方法

D．實(shí)體“所有”以及實(shí)體“行為”的鑒別方法

12.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析、模糊測(cè)試等軟件安全性測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試，作為安全主管，你需要提出滲透性測(cè)試相比源代碼測(cè)試、模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測(cè)試的優(yōu)勢(shì)？

A.滲透測(cè)試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏洞

B．滲透測(cè)試是用軟件代替人工的一種測(cè)試方法，因此測(cè)試效率更高

C．滲透測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因此測(cè)試更準(zhǔn)確

D．滲透測(cè)試中必須要查看軟件源代碼，因此測(cè)試中發(fā)現(xiàn)的漏洞更多

13.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護(hù)的說法哪個(gè)是錯(cuò)誤的？

A．告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用

B．當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許

C．用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是

D．確保數(shù)據(jù)的使用符合、地方、行業(yè)的相關(guān)法律法規(guī)

14.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險(xiǎn)管理的思想，在有限資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù)，避免防范不足帶來的直接損失，也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：

A．在軟件立項(xiàng)時(shí)考慮到軟件安全相關(guān)費(fèi)用，經(jīng)費(fèi)中預(yù)留了安全測(cè)試、安全評(píng)審相關(guān)費(fèi)用，確保安全經(jīng)費(fèi)得到落實(shí)

B．在軟件安全設(shè)計(jì)時(shí)，邀請(qǐng)軟件安全開發(fā)專家對(duì)軟件架構(gòu)設(shè)計(jì)進(jìn)行評(píng)審，及時(shí)發(fā)現(xiàn)架構(gòu)設(shè)計(jì)中存在的安全不足

C．確保對(duì)軟編碼人員進(jìn)行安全培訓(xùn)，開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼

D．在軟件上線前對(duì)軟件進(jìn)行全面安全性測(cè)試，包括源代碼分析、模糊測(cè)試、滲透測(cè)試，未經(jīng)以上測(cè)試的軟件不允許上線運(yùn)行

15.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：

A．VTP

B．L2F

C．PPTP

D．L2TP

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)請(qǐng)聯(lián)系客服刪除！