2022年CISP模擬試題每日一練（十五）

CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務(wù)連續(xù)性、安全工程與運(yùn)營、安全評(píng)估、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計(jì)算環(huán)境安全、軟件安全開發(fā)共十個(gè)知識(shí)域。想要通過考試，大家一定要掌握以上知識(shí)。為幫助大家備考，小編為大家整理了2022年CISP考試模擬試題每日一練，大家可以練習(xí)下。

單項(xiàng)選擇題：

1.隨機(jī)進(jìn)程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術(shù)手段之一，以下對(duì)于隨機(jī)進(jìn)程名技術(shù)，描述正確的是（）。

A.隨機(jī)進(jìn)程名技術(shù)雖然每次進(jìn)程都是隨機(jī)的，但是只要找到了進(jìn)程名稱，就找到了惡意代碼程序本身

B.惡意代碼生成隨機(jī)進(jìn)程名稱的目的是使進(jìn)程名稱不固定，因?yàn)闅⒍拒浖前凑者M(jìn)程名稱進(jìn)行病毒進(jìn)程查殺

C.惡意代碼使用隨機(jī)進(jìn)程名是通過生成特定格式的進(jìn)程名稱，使進(jìn)程管理器中看不到惡意代碼的進(jìn)程

D.隨機(jī)進(jìn)程名技術(shù)每次啟動(dòng)時(shí)隨機(jī)生成惡意代碼進(jìn)程名稱，通過不固定的進(jìn)程名稱使自己不容易被發(fā)現(xiàn)真實(shí)的惡意代碼程序名稱

2.某電子商務(wù)網(wǎng)戰(zhàn)在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分析電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE 是微軟SDL 中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing 是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅（）。

A.網(wǎng)站竟?fàn)帉?duì)手可能雇傭攻擊者實(shí)施 DDOS 攻擊，降低網(wǎng)站訪問速度

B.網(wǎng)站使用 HTTP 協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄漏，例如購買的商品金額等

C.網(wǎng)站使用 HTTP 協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致辭，可能數(shù)據(jù)被中途篡改

D.網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息

3.關(guān)于信息安全應(yīng)急響應(yīng)管理過程描述不正確的是（）。

A.基于應(yīng)急響應(yīng)工作的特點(diǎn)和事件的不規(guī)則性，事先制定出事件應(yīng)急響應(yīng)方法和過程，有助于一個(gè)組織在事件發(fā)生時(shí)阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復(fù)控制，將損失和負(fù)面影響降至最低

B.應(yīng)急響應(yīng)方法和過程并不是

C.一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急響應(yīng)管理過程分為準(zhǔn)備、檢測(cè)、遏制、恢復(fù)和跟蹤總結(jié) 6 個(gè)階段

D.一種被廣為接受的應(yīng)急響應(yīng)方法是將應(yīng)急管理過程分為準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)和跟蹤總結(jié) 6 個(gè)階段，這 6 個(gè)階段的響應(yīng)方法一定能確保事件處理的成功

4.CC 標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)，以下哪一項(xiàng)沒有體現(xiàn) CC 標(biāo)準(zhǔn)的先進(jìn)性（）。

A.結(jié)構(gòu)的開放性，即功能和保證要求都可以具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展

B.表達(dá)方式的通用性，即給出通用的表達(dá)方式

C.獨(dú)決性，它強(qiáng)調(diào)將安全的功能和保證分離

D.實(shí)用性，將 CC 的安全性要求具體應(yīng)用到 IT 產(chǎn)品的開發(fā)、生產(chǎn)、測(cè)試和評(píng)估過程中

5.GB/T 22080-2008 《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》指出，建立信息安全管理體系應(yīng)參照 PDCA 模型進(jìn)行，即信息安全管理體系應(yīng)包括建立 ISMS、實(shí)施和運(yùn)行 ISMS、監(jiān)視和評(píng)審 ISMS、保持和改進(jìn) ISMS 等過程，并在這些過程中應(yīng)實(shí)施若干活動(dòng)，請(qǐng)選出以下描述錯(cuò)誤的選項(xiàng)（）。

A.“制定 ISMS 方針”是建產(chǎn)ISMS 階段工作內(nèi)容

B.“實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃“是實(shí)施和運(yùn)行 ISMS 階段工作內(nèi)容C.“進(jìn)行有效性測(cè)量”是監(jiān)視和評(píng)審 ISMS 階段工作內(nèi)容

D.“實(shí)施內(nèi)部審核”是保護(hù)和改進(jìn) ISMS 階段工作內(nèi)容

注：以上試題資源來源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪除。