2022年CISP模擬試題每日一練（十五）

CISP考試內容主要包括信息安全保障、網絡安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了2022年CISP考試模擬試題每日一練，大家可以練習下。

單項選擇題：

1.隨機進程名稱是惡意代碼迷惑管理員和系統(tǒng)安全檢查人員的技術手段之一，以下對于隨機進程名技術，描述正確的是（）。

A.隨機進程名技術雖然每次進程都是隨機的，但是只要找到了進程名稱，就找到了惡意代碼程序本身

B.惡意代碼生成隨機進程名稱的目的是使進程名稱不固定，因為殺毒軟件是按照進程名稱進行病毒進程查殺

C.惡意代碼使用隨機進程名是通過生成特定格式的進程名稱，使進程管理器中看不到惡意代碼的進程

D.隨機進程名技術每次啟動時隨機生成惡意代碼進程名稱，通過不固定的進程名稱使自己不容易被發(fā)現(xiàn)真實的惡意代碼程序名稱

2.某電子商務網戰(zhàn)在開發(fā)設計時，使用了威脅建模方法來分析電子商務網站所面臨的威脅，STRIDE 是微軟SDL 中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing 是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅（）。

A.網站竟爭對手可能雇傭攻擊者實施 DDOS 攻擊，降低網站訪問速度

B.網站使用 HTTP 協(xié)議進行瀏覽等操作，未對數據進行加密，可能導致用戶傳輸信息泄漏，例如購買的商品金額等

C.網站使用 HTTP 協(xié)議進行瀏覽等操作，無法確認數據與用戶發(fā)出的是否一致辭，可能數據被中途篡改

D.網站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息

3.關于信息安全應急響應管理過程描述不正確的是（）。

A.基于應急響應工作的特點和事件的不規(guī)則性，事先制定出事件應急響應方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復控制，將損失和負面影響降至最低

B.應急響應方法和過程并不是

C.一種被廣為接受的應急響應方法是將應急響應管理過程分為準備、檢測、遏制、恢復和跟蹤總結 6 個階段

D.一種被廣為接受的應急響應方法是將應急管理過程分為準備、檢測、遏制、根除、恢復和跟蹤總結 6 個階段，這 6 個階段的響應方法一定能確保事件處理的成功

4.CC 標準是目前系統(tǒng)安全認證方面最權威的標準，以下哪一項沒有體現(xiàn) CC 標準的先進性（）。

A.結構的開放性，即功能和保證要求都可以具體的“保護輪廓”和“安全目標”中進一步細化和擴展

B.表達方式的通用性，即給出通用的表達方式

C.獨決性，它強調將安全的功能和保證分離

D.實用性，將 CC 的安全性要求具體應用到 IT 產品的開發(fā)、生產、測試和評估過程中

5.GB/T 22080-2008 《信息技術 安全技術 信息安全管理體系 要求》指出，建立信息安全管理體系應參照 PDCA 模型進行，即信息安全管理體系應包括建立 ISMS、實施和運行 ISMS、監(jiān)視和評審 ISMS、保持和改進 ISMS 等過程，并在這些過程中應實施若干活動，請選出以下描述錯誤的選項（）。

A.“制定 ISMS 方針”是建產ISMS 階段工作內容

B.“實施培訓和意識教育計劃“是實施和運行 ISMS 階段工作內容C.“進行有效性測量”是監(jiān)視和評審 ISMS 階段工作內容

D.“實施內部審核”是保護和改進 ISMS 階段工作內容

注：以上試題資源來源于網絡，如有侵權，請聯(lián)系刪除。