CISP試題及答案（十二）

CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術、物理與網(wǎng)絡通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內(nèi)容如下：

單項選擇題

1、下面對于強制訪問控制的說法錯誤的是?（）

A、它可以用來實現(xiàn)完整性保護，也可以用來實現(xiàn)機密性保護

B、在強制訪問控制的系統(tǒng)中，用戶只能定義客體的安全屬性

C、它在軍方和政府等安全要求很高的地方應用較多

D、它的缺點是使用中的便利性比較低

參考答案：B

2、負責授權(quán)訪問業(yè)務系統(tǒng)的職責應該屬于（）

A.數(shù)據(jù)擁有者

B.安全管理員

C.IT安全經(jīng)理

D.請求者的直接上司

參考答案：A

3、以下哪兩個安全模型分別是多級完整性模型和多邊保密模型?（）

A、Biba模型和Bell一Lapadula模型

B、Bell一Lapaduia模型和Biba模型

C、ChineseWall模型和Bell一Lapadula模型

D、Biba模型和ChineseWall模型

參考答案：D

4、當保護組織的信息系統(tǒng)時，在網(wǎng)絡防火墻被破壞以后，通常的下一道防線是下列哪一項?

A.個人防火墻

B.防病毒軟件

C.入侵檢測系統(tǒng)

D.虛擬局域網(wǎng)設置

參考答案：C

5、在一個使用ChineseWall模型建立訪問控制的信息系統(tǒng)中，數(shù)據(jù)W和數(shù)據(jù)

X在一個興趣沖突域中，數(shù)據(jù)Y和數(shù)據(jù)Z在另一個興趣沖突域中，那么可以確定一個新注冊的用戶:（）

A、只有訪問了w之后，才可以訪問X

B、只有訪問了W之后，才可以訪問Y和Z中的一個

C、無論是否訪問W，都只能訪問Y和Z中的一個

D、無論是否訪問W，都不能訪問Y或Z

參考答案：C

6、信息系統(tǒng)審核員應該預期誰來授權(quán)對生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問?

A.流程所有者

B.系統(tǒng)管理員

C.安全管理員

D.數(shù)據(jù)所有者

參考答案：D

7、BMA訪問控制模型是基于（）

A、健康服務網(wǎng)絡

B、ARPANET

C、ISP

D、INTERNET

參考答案：A

8、以下關于ISMS內(nèi)部審核報告的描述不正確的是?

A.內(nèi)審報告是作為內(nèi)審小組提交給管理者代表或較高管理者的工作成果

B.內(nèi)審報告中必須包含對不符合性項的改進建議

C.內(nèi)審報告在提交給管理者代表或者較高管理者之前應該受審方管理者溝通協(xié)商，核實報告內(nèi)容。

D.內(nèi)審報告中必須包括對糾正預防措施實施情況的跟蹤

參考答案：D

9、下面關于密碼算法的說法錯誤的是?（）

A、分組密碼又稱作塊加密

B、流密碼又稱作序列密碼

C、DES算法采用的是流密碼、

D、序列密碼每次加密一位或一個字節(jié)的明文

參考答案：C

10、ISMS審核時，對審核發(fā)現(xiàn)中，以下哪個是屬于嚴重不符合項?

A.關鍵的控制程序沒有得到貫徹，缺乏標準規(guī)定的要求可構(gòu)成嚴重不符合項

B.風險評估方法沒有按照ISO27005(信息安全風險管理)標準進行

C.孤立的偶發(fā)性的且對信息安全管理體系無直接影響的問題;

D.審核員識別的可能改進項

參考答案：D

11、下面對于SSH的說法錯誤的是?（）

A、SSH是SecureShell的簡稱

B、客戶端使用ssh連接遠程登錄SSH服務器必須經(jīng)過基于公鑰的身份驗證

C、通常Linux操作系統(tǒng)會在/usr/local目錄下默認安裝OpenSSH

D、SSH2比SSH1更安全

參考答案：B

12、下面對于標識和鑒別的解釋最準確的是:（）

A、標識用于區(qū)別不同的用戶，而鑒別用于驗證用戶身份的真實性

B、標識用于區(qū)別不同的用戶，而鑒別用于賦予用戶權(quán)限

C、標識用于保證用戶信息的完整性，而鑒別用于驗證用戶身份的真實性

D、標識用于保證用戶信息的完整性，而鑒別用于賦予用戶權(quán)限

參考答案：A

13、從風險分析的觀點來看，計算機系統(tǒng)的最主要安全脆弱性存在于（）

A、計算機內(nèi)部處理

B、系統(tǒng)輸入輸出

C、網(wǎng)絡和通訊

D、數(shù)據(jù)存儲介質(zhì)

參考答案：B

14、以下選項中那一項是對信息安全風險采取的糾正機制?（）

A、訪問控制

B、入侵檢測

C、災難恢復

D、防病毒系統(tǒng)

參考答案：C

15、下面哪一項最準確的闡述了安全檢測措施和安全審計之間的區(qū)別?（）

A、審計措施不能自動執(zhí)行，而檢測措施可以自動執(zhí)行

B、檢測措施不能自動執(zhí)行，而審計措施可以自動執(zhí)行

C、審計措施是一次性的或周期性的進行，而檢測措施是實時的進行

D、檢測措施是一次性的或周期性的進行，而審計措施是實時的進行

參考答案：C