2021年CISP考試模擬試題：131-140題

CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務(wù)連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了2021年CISP考試模擬試題，大家可以練習下。

單項選擇題（每題1分）

131、在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CCM)對一個組織的安全工程能力成熟度進行測量時，有關(guān)測量結(jié)果，錯誤的理解是（）

A、如果該組織在執(zhí)行某個特定的過程區(qū)域時具備了一個特定級別的部分公共特征時，則這個組織在這個過程區(qū)域的能力成熟度未達到此級

B、如果該組織某個過程區(qū)域(Process Areas，PA)具備了“定義標準過程”、“執(zhí)行已定義的過程"”兩個公共特征，則此過程區(qū)域的能力成熟度級別達到3級“充分定義級"

C、如果某個過程區(qū)域(Process Areas，PA)包含4個基本實施(Base Practices,BP)，執(zhí)行此PA時執(zhí)行了3個BP，則此過程區(qū)域的能力成熟度級別為0

D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級別上

答案：B

132、信息安全工程監(jiān)理的職責包括（）

A、質(zhì)量控制、進度控制、成本控制、合同管理、信息管理和協(xié)調(diào)

B、質(zhì)量控制、進度控制、成本控制、合同管理和協(xié)調(diào)

C、確定安全要求、認可設(shè)計方案、監(jiān)視安全態(tài)勢、建立保障證據(jù)和協(xié)調(diào)

D、確定安全要求、認可設(shè)計方案、監(jiān)視安全態(tài)勢和協(xié)調(diào)

答案：A

133、關(guān)于監(jiān)理過程中成本控制，下列說法中正確的是?（）

A、成本只要不超過預(yù)計的收益即可

B、成本應(yīng)控制得越低越好

C、成本控制由承建單位實現(xiàn)，監(jiān)理單位只能記錄實際開銷

D、成本控制的主要目的是在批準的預(yù)算條件下確保項目保質(zhì)按期完成

答案：D

134、下列關(guān)于ISO15408信息技術(shù)安全評估準則(簡稱CC)通用性的特點，即給出通用的表達方式，描述不正確的是（）

A、如果用戶、開發(fā)者、評估者和認可者都使用CC語言，互相就容易理解溝通

B、通用性的特點對規(guī)范實用方案的編寫和安全測試評估都具有重要意義

C、通用性的特點是在經(jīng)濟全球化發(fā)展、全球信息化發(fā)展的趨勢下，進行合格評定

D、通用性的特點使得CC也適用于對信息安全建設(shè)工程實施的成熟度進行評估

答案：D

135、以下哪項是對系統(tǒng)工程過程中“概念與需求定義"階段的信息安全工作的正確描述?（）

A、應(yīng)基于法律法規(guī)和用戶需求，進行需求分析和風險評估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮

B、應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進的安全解決方案和技術(shù)產(chǎn)品

C、應(yīng)在將信息安全作為實施和開發(fā)人員的一項重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實落實

D、應(yīng)詳細規(guī)定系統(tǒng)驗收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容

答案：A

136、基于對（）的信任，當一個請求或命令來自一個“權(quán)威”人士時，這個請求就可能被毫不懷疑的（）。在（）中，攻擊者偽裝成“公安部門”人員要求受害者對權(quán)威的信任。在（）中，攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請求配合進行一次系統(tǒng)測試，要求（）等（）

A、權(quán)威：執(zhí)行：電信詐騙：網(wǎng)絡(luò)攻擊：更改密碼

B、權(quán)威：執(zhí)行：網(wǎng)絡(luò)攻擊：電信詐騙：更改密碼

C、執(zhí)行：權(quán)威：電信炸騙：網(wǎng)絡(luò)攻擊：更改密碼

D、執(zhí)行：權(quán)威：網(wǎng)絡(luò)攻擊：電信許騙：更改密碼

答案：A

137、了解社會工程學攻擊是應(yīng)對和防御（）的關(guān)鍵，對于信息系統(tǒng)的管理人員和用戶，都應(yīng)該了解社會學的攻擊的概念和攻擊的（）。組織機構(gòu)可采取對相關(guān)人員實施社會工程學培訓來幫助員工了解什么是社會工程學攻擊，如何判斷是否存在社會工程學攻擊，這樣才能更好的保護信息系統(tǒng)和（）。因為如果對攻擊方式有所了解那么用戶識破攻擊者的偽裝就（）.因此組織機構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識的培訓和教育，向員工灌輸（），人機降低社會工程學攻擊的風險（）

A、社會工程學攻擊：越容易：原理：個人數(shù)據(jù)：安全意識

B、社會工程學攻擊：原理：越容易：個人數(shù)據(jù)：安全意識

C、原理：社會工程學攻擊：個人數(shù)據(jù)：越容易：安全意識

D、社會工程學攻擊：原理：個人數(shù)據(jù)：越容易：安全意識

答案：D

138、建立并完善（）是有效應(yīng)對社會工程攻擊的方法，通過()的建立，使得信息系統(tǒng)用戶需要循（）來實施某些操作，從而在一定程度上降低社會工程學的影響.例如對于用戶密碼的修改，由于相應(yīng)管理制度的要求，（）需要對用戶身份進行電話回撥確認才能執(zhí)行，那么來自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進行（），因為他還需要想辦法擁有一個組織機構(gòu)內(nèi)部電話才能實施（）

A、信息安全管理體系：安全管理制度：規(guī)范：網(wǎng)絡(luò)管理員：社會工程學攻擊

B、信息安全管理體系：安全管理制度：網(wǎng)絡(luò)管理員：規(guī)范：社會工程學攻擊

C、安全管理制度：信息安全管理體系：規(guī)范：網(wǎng)絡(luò)管理員：社會工程學攻擊

D、信息安全管理體系：網(wǎng)絡(luò)管理員：安全管理制度：規(guī)范：社會工程學攻擊

答案：A

139、信息收集是（）攻擊實施的基礎(chǔ)，因此攻擊者在實施前會對目標進行（），了解目標所有相關(guān)的（）。這些資料和信息對很多組織機構(gòu)來說都是公開或看無用的，然而對攻擊者來說，這些信息都是非常有價值的，這些信息收集得越多，離他們成功得實現(xiàn)（）就越近，如果認為信息沒有價值或價值的非常低，組織機構(gòu)通常不會采取措施（），這正是社會工程學攻擊者所希望的（）

A、信息收集：社會工程學：資料和信息：身份偽裝：進行保護.

B、社會工程學：信息收集：資料和信息：身份偽裝：進行保護

C、社會工程學：信息收集：身份偽裝：資料和信息：進行保護.

D、信息收集：資料和信息：社會工程學：身份偽裝：進行保護

答案：B

140、（）攻擊是建立在人性“弱點”利用基礎(chǔ)上的攻擊，大部分的社會工程學攻擊都是經(jīng)過（）才能實施成功的，即使是最簡單的“直接攻擊”也需要進行（）。如果希望受害者接受攻擊者所()攻擊者就必須具備這個身份需要的（）

A、社會工程學：精心策劃：前期的準備：偽裝的身份：一些特征

B、精心策劃：社會工程學：前期的準備：偽裝的身份：一些特征

C、精心策劃：社會工程學：偽裝的身份：前期的準備：一些特征

D、社會工程學：偽裝的身份：精心策劃：前期的準備：一些特征

答案：A