CISP試題及答案（六）

CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務(wù)連續(xù)性、安全工程與運(yùn)營(yíng)、安全評(píng)估、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計(jì)算環(huán)境安全、軟件安全開(kāi)發(fā)共十個(gè)知識(shí)域。想要通過(guò)考試，大家一定要掌握以上知識(shí)。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內(nèi)容如下：

單項(xiàng)選擇題

1、以下關(guān)于信息安全工程說(shuō)法正確的是（）

A、信息化建設(shè)中系統(tǒng)功能的實(shí)現(xiàn)是最重要的

B、信息化建設(shè)可以實(shí)施系統(tǒng)，而后對(duì)系統(tǒng)進(jìn)行安全加固

C、信息化建設(shè)中在規(guī)劃階段合理規(guī)劃信息安全，在建設(shè)階段要同步實(shí)施信息安全建設(shè)

D、信息化建設(shè)沒(méi)有必要涉及信息安全建設(shè)

答案：C

2、在使用系統(tǒng)安全工程-能力成熟度模型(SSE-CCM)對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，有關(guān)測(cè)量結(jié)果，錯(cuò)誤的理解是（）

A、如果該組織在執(zhí)行某個(gè)特定的過(guò)程區(qū)域時(shí)具備了一個(gè)特定級(jí)別的部分公共特征時(shí)，則這個(gè)組織在這個(gè)過(guò)程區(qū)域的能力成熟度未達(dá)到此級(jí)

B、如果該組織某個(gè)過(guò)程區(qū)域(Process Areas，PA)具備了“定義標(biāo)準(zhǔn)過(guò)程”、“執(zhí)行已定義的過(guò)程"”兩個(gè)公共特征，則此過(guò)程區(qū)域的能力成熟度級(jí)別達(dá)到3級(jí)“充分定義級(jí)"

C、如果某個(gè)過(guò)程區(qū)域(Process Areas，PA)包含4個(gè)基本實(shí)施(Base Practices,BP)，執(zhí)行此PA時(shí)執(zhí)行了3個(gè)BP，則此過(guò)程區(qū)域的能力成熟度級(jí)別為0

D、組織在不同的過(guò)程區(qū)域的能力成熟度可能處于不同的級(jí)別上

答案：B

3、信息安全工程監(jiān)理是信息系統(tǒng)工程監(jiān)理的重要組成部分，信息安全工程監(jiān)理適用的信息化工程中，以下選擇最合適的是（）

A、通用布纜系統(tǒng)工程

B、電子設(shè)備機(jī)房系統(tǒng)工程

C、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程

D、以上都適用

答案：D

4、信息安全工程監(jiān)理的職責(zé)包括（）

A、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和協(xié)調(diào)

B、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和協(xié)調(diào)

C、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)、建立保障證據(jù)和協(xié)調(diào)

D、確定安全要求、認(rèn)可設(shè)計(jì)方案、監(jiān)視安全態(tài)勢(shì)和協(xié)調(diào)

答案：A

5.對(duì)系統(tǒng)工程(Systems Engineering, SE)的理解，以下錯(cuò)誤的是（）

A、系統(tǒng)工程偏重于對(duì)工程的組織與經(jīng)營(yíng)管理進(jìn)行研究

B、系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論

C、系統(tǒng)工程不是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法

D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、實(shí)驗(yàn)、使用的科學(xué)方法

答案：C

6、關(guān)于監(jiān)理過(guò)程中成本控制，下列說(shuō)法中正確的是?（）

A、成本只要不超過(guò)預(yù)計(jì)的收益即可

B、成本應(yīng)控制得越低越好

C、成本控制由承建單位實(shí)現(xiàn)，監(jiān)理單位只能記錄實(shí)際開(kāi)銷(xiāo)

D、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項(xiàng)目保質(zhì)按期完成

答案：D

7、某政府機(jī)構(gòu)擬建設(shè)一機(jī)房，在工程安全監(jiān)理單位參與下制定了招標(biāo)文件，項(xiàng)目分二期，一期目標(biāo)為年內(nèi)實(shí)現(xiàn)系統(tǒng)上線運(yùn)營(yíng)，二期目標(biāo)為次年上半年完成運(yùn)行系統(tǒng)風(fēng)險(xiǎn)的處理。招標(biāo)文件經(jīng)營(yíng)管理層審批后發(fā)布，就此工程項(xiàng)目而言，以下正確的是（）

A、此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線運(yùn)營(yíng)和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施，具有合理性和可行性

B、在工程安全監(jiān)理的參與下，確保了此招標(biāo)文件的合理性

C、工程規(guī)劃不符合信息安全工程的基本原則

D、招標(biāo)文件經(jīng)營(yíng)管理層審批，表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃

答案：C

8、下列關(guān)于ISO15408信息技術(shù)安全評(píng)估準(zhǔn)則(簡(jiǎn)稱CC)通用性的特點(diǎn)，即給出通用的表達(dá)方式，描述不正確的是（）

A、如果用戶、開(kāi)發(fā)者、評(píng)估者和認(rèn)可者都使用CC語(yǔ)言，互相就容易理解溝通

B、通用性的特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫(xiě)和安全測(cè)試評(píng)估都具有重要意義

C、通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下，進(jìn)行合格評(píng)定

D、通用性的特點(diǎn)使得CC也適用于對(duì)信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評(píng)估

答案：D

9、下面信息安全漏洞理解錯(cuò)誤的是（）

A、討論漏洞應(yīng)該從生命周期的角度出發(fā)，信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等階段中均有可能產(chǎn)生漏洞

B、信息安全漏洞是由于信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、開(kāi)發(fā)、部署或維護(hù)階段，由于設(shè)計(jì)、開(kāi)發(fā)等相關(guān)人員無(wú)意中產(chǎn)生的缺陷所造成的

C、信息安全漏洞如果被惡意攻擊者成功利用，可能會(huì)給信息產(chǎn)品和信息系統(tǒng)帶來(lái)安全損害，甚至帶來(lái)很大的經(jīng)濟(jì)損失

D、由于人類(lèi)思維能力、計(jì)算機(jī)計(jì)算能力的局限性等因素，所以在信息產(chǎn)品和信息系統(tǒng)中產(chǎn)生新的漏洞是不可避免的

答案：B

10、以下哪項(xiàng)是對(duì)系統(tǒng)工程過(guò)程中“概念與需求定義"階段的信息安全工作的正確描述?（）

A、應(yīng)基于法律法規(guī)和用戶需求，進(jìn)行需求分析和風(fēng)險(xiǎn)評(píng)估，從信息系統(tǒng)建設(shè)的開(kāi)始就綜合信息系統(tǒng)安全保障的考慮

B、應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場(chǎng)，選擇最先進(jìn)的安全解決方案和技術(shù)產(chǎn)品

C、應(yīng)在將信息安全作為實(shí)施和開(kāi)發(fā)人員的一項(xiàng)重要工作內(nèi)容，提出安全開(kāi)發(fā)的規(guī)范并切實(shí)落實(shí)

D、應(yīng)詳細(xì)規(guī)定系統(tǒng)驗(yàn)收測(cè)試中有關(guān)系統(tǒng)安全性測(cè)試的內(nèi)容

答案：A

11、基于對(duì)（）的信任，當(dāng)一個(gè)請(qǐng)求或命令來(lái)自一個(gè)“權(quán)威”人士時(shí)，這個(gè)請(qǐng)求就可能被毫不懷疑的（）。在（）中，攻擊者偽裝成“公安部門(mén)”人員要求受害者對(duì)權(quán)威的信任。在（）中，攻擊者可能偽裝成監(jiān)管部門(mén)、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請(qǐng)求配合進(jìn)行一次系統(tǒng)測(cè)試，要求（）等（）

A、權(quán)威：執(zhí)行：電信詐騙：網(wǎng)絡(luò)攻擊：更改密碼

B、權(quán)威：執(zhí)行：網(wǎng)絡(luò)攻擊：電信詐騙：更改密碼

C、執(zhí)行：權(quán)威：電信炸騙：網(wǎng)絡(luò)攻擊：更改密碼

D、執(zhí)行：權(quán)威：網(wǎng)絡(luò)攻擊：電信許騙：更改密碼

答案：A

12、有關(guān)系統(tǒng)安全工程_能力成熟度模型(SSE-CMM)中 基本實(shí)施( Base Practice)正確的理解是（）

A、BP不限定于特定的方法工具，不同業(yè)務(wù)背景中可以使用不同的方法

B、BP不是根據(jù)廣泛的現(xiàn)有資料，實(shí)施和希賽網(wǎng)意見(jiàn)綜合得出的

C、BP不代表信息安全工程領(lǐng)域的最佳實(shí)踐

D、BP不是過(guò)程區(qū)域(Process Areas，PA )的強(qiáng)制項(xiàng)

答案：A

13、了解社會(huì)工程學(xué)攻擊是應(yīng)對(duì)和防御（）的關(guān)鍵，對(duì)于信息系統(tǒng)的管理人員和用戶，都應(yīng)該了解社會(huì)學(xué)的攻擊的概念和攻擊的（）。組織機(jī)構(gòu)可采取對(duì)相關(guān)人員實(shí)施社會(huì)工程學(xué)培訓(xùn)來(lái)幫助員工了解什么是社會(huì)工程學(xué)攻擊，如何判斷是否存在社會(huì)工程學(xué)攻擊，這樣才能更好的保護(hù)信息系統(tǒng)和（）。因?yàn)槿绻麑?duì)攻擊方式有所了解那么用戶識(shí)破攻擊者的偽裝就（）.因此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識(shí)的培訓(xùn)和教育，向員工灌輸（），人機(jī)降低社會(huì)工程學(xué)攻擊的風(fēng)險(xiǎn)（）

A、社會(huì)工程學(xué)攻擊：越容易：原理：個(gè)人數(shù)據(jù)：安全意識(shí)

B、社會(huì)工程學(xué)攻擊：原理：越容易：個(gè)人數(shù)據(jù)：安全意識(shí)

C、原理：社會(huì)工程學(xué)攻擊：個(gè)人數(shù)據(jù)：越容易：安全意識(shí)

D、社會(huì)工程學(xué)攻擊：原理：個(gè)人數(shù)據(jù)：越容易：安全意識(shí)

答案：D

14、信息安全工程作為信息安全保障的重要組成部門(mén)，主要是為了解決（）

A、信息系統(tǒng)的技術(shù)架構(gòu)安全問(wèn)題

B、信息系統(tǒng)組成部門(mén)的組件安全問(wèn)題

C、信息系統(tǒng)生命周期的過(guò)程安全問(wèn)題

D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問(wèn)題

答案：C

15、建立并完善（）是有效應(yīng)對(duì)社會(huì)工程攻擊的方法，通過(guò)()的建立，使得信息系統(tǒng)用戶需要循（）來(lái)實(shí)施某些操作，從而在一定程度上降低社會(huì)工程學(xué)的影響.例如對(duì)于用戶密碼的修改，由于相應(yīng)管理制度的要求，（）需要對(duì)用戶身份進(jìn)行電話回?fù)艽_認(rèn)才能執(zhí)行，那么來(lái)自外部的攻擊就可能很難偽裝成為內(nèi)部工作人員進(jìn)行（），因?yàn)樗€需要想辦法擁有一個(gè)組織機(jī)構(gòu)內(nèi)部電話才能實(shí)施（）

A、信息安全管理體系：安全管理制度：規(guī)范：網(wǎng)絡(luò)管理員：社會(huì)工程學(xué)攻擊

B、信息安全管理體系：安全管理制度：網(wǎng)絡(luò)管理員：規(guī)范：社會(huì)工程學(xué)攻擊

C、安全管理制度：信息安全管理體系：規(guī)范：網(wǎng)絡(luò)管理員：社會(huì)工程學(xué)攻擊

D、信息安全管理體系：網(wǎng)絡(luò)管理員：安全管理制度：規(guī)范：社會(huì)工程學(xué)攻擊

答案：A

16、在使用系統(tǒng)安全工程_能力成熟度模型(SSE-CMM)對(duì)一個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，正確的理解是（）

A、測(cè)量單位是基本實(shí)施(Base Practices，BP)

B、測(cè)量單位是通用實(shí)踐(Generic Practices， GP)

C、測(cè)量單位是過(guò)程區(qū)域(Process Areas, PA)

D、測(cè)量單位是公共特征(Common Features， CF)

答案：D

17、信息收集是（）攻擊實(shí)施的基礎(chǔ)，因此攻擊者在實(shí)施前會(huì)對(duì)目標(biāo)進(jìn)行（），了解目標(biāo)所有相關(guān)的（）。這些資料和信息對(duì)很多組織機(jī)構(gòu)來(lái)說(shuō)都是公開(kāi)或看無(wú)用的，然而對(duì)攻擊者來(lái)說(shuō)，這些信息都是非常有價(jià)值的，這些信息收集得越多，離他們成功得實(shí)現(xiàn)（）就越近，如果認(rèn)為信息沒(méi)有價(jià)值或價(jià)值的非常低，組織機(jī)構(gòu)通常不會(huì)采取措施（），這正是社會(huì)工程學(xué)攻擊者所希望的（）

A、信息收集：社會(huì)工程學(xué)：資料和信息：身份偽裝：進(jìn)行保護(hù).

B、社會(huì)工程學(xué)：信息收集：資料和信息：身份偽裝：進(jìn)行保護(hù)

C、社會(huì)工程學(xué)：信息收集：身份偽裝：資料和信息：進(jìn)行保護(hù).

D、信息收集：資料和信息：社會(huì)工程學(xué)：身份偽裝：進(jìn)行保護(hù)

答案：B

18、有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)，錯(cuò)誤的理解是（）

A、SSE-CMM要求實(shí)施組織與其他組織相互作用，如開(kāi)發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等

B、SSE-CMM 可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目

C、基于SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施

D、SSE-CMM覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)

答案：C

19、（）攻擊是建立在人性“弱點(diǎn)”利用基礎(chǔ)上的攻擊，大部分的社會(huì)工程學(xué)攻擊都是經(jīng)過(guò)（）才能實(shí)施成功的，即使是最簡(jiǎn)單的“直接攻擊”也需要進(jìn)行（）。如果希望受害者接受攻擊者所()攻擊者就必須具備這個(gè)身份需要的（）

A、社會(huì)工程學(xué)：精心策劃：前期的準(zhǔn)備：偽裝的身份：一些特征

B、精心策劃：社會(huì)工程學(xué)：前期的準(zhǔn)備：偽裝的身份：一些特征

C、精心策劃：社會(huì)工程學(xué)：偽裝的身份：前期的準(zhǔn)備：一些特征

D、社會(huì)工程學(xué)：偽裝的身份：精心策劃：前期的準(zhǔn)備：一些特征

答案：A

注：以上試題來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除。