CISP試題及答案（十一）

CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務(wù)連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內(nèi)容如下：

單項選擇題

1、以下哪一項不是IIS服務(wù)器支持的訪問控制過濾類型?（）

A、網(wǎng)絡(luò)地址訪問控制

B、 web 服務(wù)器許可

C 、NTFS 許可

D、異常行為過濾

參考答案：D

2、以下哪一項不是跨站腳本攻擊?（）

A、給網(wǎng)站掛馬

B、盜取C00KIE

C、偽造頁面信息

D、暴力破解密碼

參考答案：D

3、以下對Windows服務(wù)的說法錯誤的是( )

A、為了提升系統(tǒng)的安全性管理員應(yīng)盡量關(guān)閉不需要的服務(wù)

B 、Windows服務(wù)只有在用戶成功登錄系統(tǒng)后才能運行

C、可以作為獨立的進程運行或以DLL的形式依附在Svchost、 exe

D 、windows服務(wù)通常是以管理員的身份運行的

參考答案：B

4、對能力成熟度模型解釋最準(zhǔn)確的是?（）

A、它認為組織的能力依賴與嚴格定義，管理完善，可測可控的有效業(yè)務(wù)過程

B、它通過嚴格考察工程成果來判斷工程能力。

C、它與統(tǒng)計過程控制的理論出發(fā)點不同，所以應(yīng)用于不同領(lǐng)域。

D、它是隨著信息安全的發(fā)展而誕生的重要概念。

參考答案：A

5、 Visa 和MasterCard共同開發(fā)的用于信用卡交易的安全協(xié)議是什么

A、 SSL

B、 SET (安全電子交易協(xié)議)

C、 PPTP

D、三重DES

參考答案：B

6、一個單位在處理一臺儲存過高密級信息的計算機是首先應(yīng)該做什么?（）

A、將硬盤的每-一個比特寫成“0”

B、將硬盤徹底毀壞

C、選擇秘密信息進行刪除

D、進行低級格式化

參考答案：C

7、 Ethernet MAC 地址是多少位

A、36位

B、32位

C、24位

D、48位

參考答案：D

8、變更控制是信息系統(tǒng)運行管理的重要的內(nèi)容，在變更控制的過程中:（）

A、應(yīng)該盡量追求效率，而沒有任何的程序和核查的阻礙。

B、應(yīng)該將重點放在風(fēng)險發(fā)生后的糾正措施上。

C、應(yīng)該很好的定義和實施風(fēng)險規(guī)避的措施。

D、如果是公司領(lǐng)導(dǎo)要求的，對變更過程不需要追蹤和審查

參考答案：C

9、在進行應(yīng)用系統(tǒng)的測試時，應(yīng)盡可能避免使用包含個人隱私和其它敏感信息的實際生產(chǎn)系統(tǒng)中的數(shù)據(jù)，如果需要使用時，以下哪一項不是必須做的:

A、測試系統(tǒng)應(yīng)使用不低于生產(chǎn)關(guān)系的訪問控制措施

B、未測試系統(tǒng)中的數(shù)據(jù)部署完善的備份與恢復(fù)措施

C、在測試完成后立即清除測試系統(tǒng)中的所有敏感數(shù)據(jù)

D、部署審計措施，記錄生產(chǎn)數(shù)據(jù)拷貝和使用

參考答案：B

10、下面對于“電子郵件炸彈”的解釋最準(zhǔn)確的是:（）

A、郵件正文中包含的惡意網(wǎng)站鏈接

B、郵件附件中具有強破壞性的病毒

C、社會工程的一種方式，具有恐嚇內(nèi)容的郵件

D、在短時間內(nèi)發(fā)送大量郵件軟件，可以造成目標(biāo)郵箱爆滿

參考答案：D

11、以下哪項是對系統(tǒng)工程過程中“概念與需求定義”階段的信息安全工作的正確描述?

A、應(yīng)基于法律法規(guī)和用戶需求，進行需求分析和風(fēng)險評估，從信息系統(tǒng)建設(shè)的開始就綜合信息系統(tǒng)安全保障的考慮

B、應(yīng)充分調(diào)研信息安全技術(shù)發(fā)展情況和信息安全產(chǎn)品市場，選擇最先進的安全解決方案和技術(shù)產(chǎn)品

C、應(yīng)在將信息安全作為實施和開發(fā)人員的-項重要工作內(nèi)容，提出安全開發(fā)的規(guī)范并切實落實

D、應(yīng)詳細規(guī)定系統(tǒng)驗收測試中有關(guān)系統(tǒng)安全性測試的內(nèi)容

參考答案：A

12、以下哪一項是常見Web站點脆弱性掃描工具:（）

A、Sni ffer

B、Nmap

C、 Appscan

D、 LC

參考答案：C

13、如果你作為甲方負責(zé)監(jiān)管一個信息安全工程項目的實施，當(dāng)乙方提出一項工程變更時你、

最應(yīng)當(dāng)關(guān)注的是:

A、變更的流程是否符合預(yù)先的規(guī)定

B、變更是否會對項目進度造成拖延

C、變更的原因和造成的影響

D、變更后是否進行了準(zhǔn)確的記錄

參考答案：C

14、下面哪一項不是安全編程的原則（）

A、盡可能使用高級語言進行編程

B、盡可能讓程序只 實現(xiàn)需要的功能

C、不要信任用戶輸入的數(shù)據(jù)

D、盡可能考慮到意外的情況，并設(shè)計妥善的處理方法

參考答案：A

15、信息化建設(shè)和信息安全建設(shè)的關(guān)系應(yīng)當(dāng)是:

A、信息化建設(shè)的結(jié)束就是信息安全建設(shè)的開始、

B、信息化建設(shè)和信息安全建設(shè)應(yīng)同步規(guī)劃、同步實施

C、信息化建設(shè)和信息安全建設(shè)是交替進行的，無法區(qū)分誰先誰后

D、以上說法都正確

參考答案：B

16、在信息系統(tǒng)的開發(fā)和維護過程中，以下哪一種做法是不應(yīng)該被贊成的（）

A、在購買軟件包后，依靠本單位的技術(shù)力量對軟件包進行修改，加強代碼的安全性

B、當(dāng)操作系統(tǒng)變更后，對業(yè)務(wù)應(yīng)用系統(tǒng)進行測試和評審

C、在需要是對操作文檔和用戶守則進行適當(dāng)?shù)男薷?/p>

D、在安裝委外開發(fā)的軟件前進行惡意代碼檢測

參考答案：B

17、 SSH 的用戶鑒別組件運行在0SI的哪一層

A、傳輸層

B、網(wǎng)絡(luò)層

C、會話層

D、物理層

參考答案：A

18、對于信息系統(tǒng)訪問控制說法錯誤的是?（）

A、應(yīng)該根據(jù)業(yè)務(wù)需求和安全要求制定清晰的訪問控制策略，并根據(jù)需要進行評審和改進

B、網(wǎng)絡(luò)訪問控制是訪問控制的重中之重，網(wǎng)絡(luò)訪問控制做好了操作系統(tǒng)和應(yīng)用層次的訪問控制就會解決

C、做好訪問控制工作不僅要對用戶的訪問活動進行嚴格管理，還要明確用戶在訪問控制中的有關(guān)責(zé)任、

D、移動計算和遠程工作技術(shù)的廣泛應(yīng)用給訪問控制帶來新的問題，因此在訪問控制工作要重點考慮對移動計算設(shè)備和遠程工作用戶的控制措施

參考答案：B

19、在風(fēng)險評估中進行定量的后果分析時，如果采用年度風(fēng)險損失值的方法進行計算，應(yīng)當(dāng)使用一下哪個公式?（）

A、 SLE (單次損失預(yù)期值) x ARO (年度發(fā)生率)

B、 ARO (年度發(fā)生率) x EF(暴露因子)

C、 SLE (單次損失預(yù)期值) x EF(暴露因子) x ARO (年度發(fā)生率)

D、 SLE (單次損失預(yù)期值) x ARO (年度發(fā)生率) —EF(暴露因子)

參考答案：A

20、以下哪個標(biāo)準(zhǔn)描述了典型的安全服務(wù)和0SI模型中7層的對應(yīng)關(guān)系

A、 IS0/IEC 7498-2

B、 BS 7799

C、通用評估準(zhǔn)則

D、 IATF

參考答案：A