2022年CISP模擬試題每日一練（二十五）

CISP考試內容主要包括信息安全保障、網絡安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了2022年CISP考試模擬試題每日一練，大家可以練習下。

單項選擇題：

1.訪問控制的實施一般包括兩個步驟，首先要鑒別主體的合法身份，接著根據當前系統(tǒng)的訪問控制規(guī)則授予相應用戶的訪問權限。在此過程中，涉及主體、客體、訪問控制實施部件和訪問控制決策部件之間的交互。下圖所示的訪問控制實施步驟中，標有數字的方框代表了主體、客體、訪問控制實施部件和訪問控制決策部件。下列選項中，標有數字1、2、3、4 的方框分別對應的實體或部件正確的是（）。

A.主體、訪問控制決策、客體、訪問控制實施

B.主體、訪問控制實施、客體、訪問控制決策

C.客體、訪問控制決策、主體、訪問控制實施

D.客體、訪問控制實施、主體、訪問控制決策

2.某電子商務網站在開發(fā)設計時，使用了威脅建模方法來分析電子商務網站所面臨的威脅。STRIDE 是微軟 SDL 中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing 是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅?（）

A . 網站競爭對手可能雇傭攻擊者實施 DDos 攻擊，降低網站訪問速度

B . 網站使用 http 協(xié)議進行瀏覽等操作，未對數據進行加密，可能導致用戶傳輸信息泄漏，例如購買的商品金額等

C . 網站使用 http 協(xié)議進行瀏覽等操作，無法確認數據與用戶發(fā)出的是否一致，可能數據被中途篡改

D . 網站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息

3.以下有關系統(tǒng)工程說法錯誤的是（）。

A.系統(tǒng)工程不屬于基本理論，也不屬于技術基礎，它研究的重點是方法論

B.系統(tǒng)工程的目的是實現(xiàn)總體效果最優(yōu)化，即從復雜問題總體入手，認為總體大于各部分之和， 各部分雖然存在不足，但總體可以優(yōu)化

C.系統(tǒng)工程只需要使用定量分析的方法，通過建立實際對象的數學模型，應用合適的優(yōu)化算法對模型求解解決實際問題

D.霍爾三維結構將系統(tǒng)工程整個活動過程分為前后緊密銜接的 7 個階段和 7 個步驟解答：書上 P175 原文，定性和定量分析相結合的方法

4.隨著即時通訊軟件的普及使用，即時通訊軟件也被惡意代碼利用進行傳播，以下哪項功能不是惡意代碼利用即時通訊進行傳播的方式（）。

A 利用即時通訊軟件的文件傳送功能發(fā)送帶惡意代碼的可執(zhí)行文件

B 利用即時通訊軟件發(fā)送指向惡意網頁的URL

C 利用即時通訊軟件發(fā)送指向惡意地址的二維碼

D 利用即時通訊發(fā)送攜帶惡意代碼的 TXT 文檔

5.王工是某單位的系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，根據任務安排，他依據已有的資產列表，逐個分析可能危害這些資產的主體、動機、途徑等多種因素，分析這些因素出現(xiàn)機造成損失的可能性大小，并為其賦值。請問，他這個工作屬于下面哪一個階段的工作（）。

A.資產識別并賦值

B.脆弱性識別并賦值

C.威脅識別并賦值

D.確認已有的安全措施并賦值

注：以上試題資源來源于網絡，如有侵權，請聯(lián)系刪除。