2021年CISP模擬考題(29)

CISP題庫實際上不對外公開，目前對外公開的試題資料基本是模擬試題或者說是各大機構(gòu)整理的備考資料。真正的考題需要考生通過報考機構(gòu)獲取。此次整理的CISP2021年模擬考題(29)暫無答案，請考生悉知！

141.王工是某單位的系統(tǒng)管理員，他在某次參加單位組織的風險管理工作時，發(fā)現(xiàn)當前案例中共有兩個重要資產(chǎn);資產(chǎn) A1 和資產(chǎn) A2;其中資產(chǎn) A1 面臨兩個主要威脅：威脅 T1 和威脅 T2;而資產(chǎn) A2 面臨一個主要威脅：威脅 T3;威脅 T1 可以利用的資產(chǎn) A1 參在的兩個脆弱性：脆弱性 V1 和脆弱性 V2;威脅 T2 可以利用的資產(chǎn) AI 存在的三個脆弱性：脆弱性 V3、脆弱性 V4 和脆弱性 V5;可以利用的資產(chǎn) A2 存在的兩個脆弱性：脆弱性 V6 和脆弱性 V7。根據(jù)上述條件，請問：使用相乘法時，應該為資產(chǎn)A1 計算幾個風險值()

A.2

B.3

C.5

D.6

142.在標準 GB/T 20274.1—2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》中，信息系統(tǒng)安全保障模型包含哪幾個方面?()

A.保障要素、生命周期和運行維護

B.保障要素、生命周期和安全特征

C.規(guī)劃組織、生命周期和安全特征

D.規(guī)劃組織、生命周期和運行維護

143.在信息系統(tǒng)中，訪問控制是重要的安全功能之一。它的任務是在用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)限進行管理，防止對信息的非授權(quán)篡改和濫用。訪問控制模型將實體劃分為主體和客體兩類，通過對主體身份的識別來限制其對客體的訪問權(quán)限。下列選項中，對主體、客體和訪問權(quán)限的描述中錯誤的是()

A.對文件進行操作的用戶是一種主體

B.主體可以接受客體的信息和數(shù)據(jù)，也可能改變客體相關(guān)的信息C.訪問權(quán)限是指主體對客體所允許的操作

D.對目錄的訪問權(quán)可分為讀、寫和拒絕訪問

144.殘余風險是風險管理中的一個重要概念。在信息安全風險管理中，關(guān)于殘余風險描述錯誤的是()

A 殘余風險是采取了安全措施后，仍然可能存在的風險，一般來說，是在綜合考慮了安全成本與效益后不去控制的風險

B 殘余風險應受到密切監(jiān)理，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件

C 實施風險處理時，應將殘余風險清單告知信息系統(tǒng)所在組織的高管，使其了解殘余風險的存在和可能造成的后果

D 信息安全風險處理的主要準則是盡可能降低和控制信息安全風險，以最小的殘余風險值作為風險管理效果評估指標

145.以下關(guān)于威脅建模流程步驟說法不正確的是()

A.威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅

B.評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計算風險

C.消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過重新設(shè)計直接消除威脅，或設(shè)計采用技術(shù)手段來消減威脅。

D.識別威脅是發(fā)現(xiàn)組件或進程存在的威脅，它可能是惡意的，威脅就是漏洞。

注：以上試題資源來源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪除。