2021年CISP模擬考題(21)

CISP題庫(kù)實(shí)際上不對(duì)外公開(kāi)，目前對(duì)外公開(kāi)的試題資料基本是模擬試題或者說(shuō)是各大機(jī)構(gòu)整理的備考資料。真正的考題需要考生通過(guò)報(bào)考機(jī)構(gòu)獲取。此次整理的CISP2021年模擬考題(21)暫無(wú)答案，請(qǐng)考生悉知！

101.以下關(guān)于 Web 傳輸協(xié)議、服務(wù)端和客戶(hù)端軟件的安全問(wèn)題說(shuō)法不正確的是()

A.HTTP 協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗(yàn)性和缺乏狀態(tài)跟蹤等方面的安全問(wèn)題

B.HTTP 協(xié)議缺乏有效的安全機(jī)制，易導(dǎo)致拒絕服務(wù)、電子欺騙、嗅探等攻擊

C.Cookie 是為了辨別用戶(hù)身份，進(jìn)行會(huì)話(huà)跟蹤而存儲(chǔ)在用戶(hù)本地終端上的數(shù)據(jù)，用戶(hù)可以隨意查看儲(chǔ)存在 Cookie 中的數(shù)據(jù)，但其中的內(nèi)容不能被修改

D.針對(duì) HTTP 協(xié)議存在的安全問(wèn)題，使用 HTTP 具有較高的安全性，可以通過(guò)證書(shū)來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密

102.常見(jiàn)的訪問(wèn)控制模型包括自主訪問(wèn)控制模型、強(qiáng)制訪問(wèn)控制模型和基于角色的訪問(wèn)控制模型等，下面描述中錯(cuò)誤的是()

A.從安全性等級(jí)來(lái)看，這三個(gè)模型安全性從低到高的排序是自主訪問(wèn)控制模型，強(qiáng)制訪問(wèn)控制模型和基于角色的訪問(wèn)控制模型

B.自主訪問(wèn)控制是一種廣泛應(yīng)用的方法，資源的所有者(往往也是創(chuàng)建者)可以規(guī)定誰(shuí)有權(quán)利訪問(wèn)他們的資源，具有較好的易用性和可擴(kuò)展性

C.強(qiáng)制訪問(wèn)控制模型要求主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來(lái)決定一個(gè)主體是否可以訪問(wèn)某個(gè)客體，該模型具有一定的抗惡意程序攻擊能力，適用于專(zhuān)用或安全性要求較高的系統(tǒng)

D.基于角色的訪問(wèn)控制模型的基本思想是根據(jù)用戶(hù)所擔(dān)任的角色來(lái)決定用戶(hù)在系統(tǒng)中的訪問(wèn)權(quán)限， 該模型便于實(shí)施授權(quán)管理和安全約束，容易實(shí)現(xiàn)最小特權(quán)，職責(zé)分離等各種安全策略

103.若一個(gè)組織聲稱(chēng)自己的 ISMS 符合 ISO/IEC 27001 成 GB/T22080 標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在符合性方面實(shí)施常規(guī)控制，符合性常規(guī)控制這一領(lǐng)域不包括以下哪項(xiàng)控制目標(biāo)()

A.符合法律要求

B.符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性

C.信息系統(tǒng)審核考慮

D.訪問(wèn)控制的業(yè)務(wù)要求，用戶(hù)訪問(wèn)管理

104.以下關(guān)于 Windows 操作系統(tǒng)身份標(biāo)識(shí)與鑒別，說(shuō)法不正確的是()

A 本地安全授權(quán)機(jī)構(gòu)(LSA)生成用戶(hù)帳戶(hù)在該系統(tǒng)內(nèi)安全標(biāo)識(shí)符(SID)

B 用戶(hù)對(duì)鑒別信息的操作，如更改密碼等都通過(guò)一個(gè)以 Administrator 權(quán)限運(yùn)行的服務(wù)“Security Accounts Manager”來(lái)實(shí)現(xiàn)

C Windows 操作系統(tǒng)遠(yuǎn)程登錄經(jīng)歷了 SMB 鑒別機(jī)制、LM 鑒別機(jī)制、Kerberos 鑒別體系等階段

D 完整的安全標(biāo)識(shí)符(SID)包括用戶(hù)和組的安全描述，48 比特的身份特權(quán)、修訂版本和可變的驗(yàn)證值

解釋?zhuān)篠YSTEM 權(quán)限最大用戶(hù)修改

105.若一個(gè)組織聲稱(chēng)自己的 ISMS 符合 ISO/IBC 27001 或 GB/T22080 標(biāo)準(zhǔn)要求，其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制，資產(chǎn)管理包含對(duì)資產(chǎn)負(fù)責(zé)和信息分類(lèi)兩個(gè)控制目標(biāo)，對(duì)資產(chǎn)負(fù)責(zé)的控制目標(biāo)是實(shí)現(xiàn)和保護(hù)對(duì)組織資產(chǎn)的適當(dāng)保護(hù)，這一控制目標(biāo)的實(shí)現(xiàn)由以下控制措施的落實(shí)來(lái)保障，不包括哪一項(xiàng)()

A.資產(chǎn)清單

B.資產(chǎn)負(fù)責(zé)人

C.資產(chǎn)的可接受使用

D.分類(lèi)指南、信息的標(biāo)記和處理

注：以上試題資源來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪除。