CISP認(rèn)證考試試題(1)

CISP 責(zé)任編輯:張崢林 2020-11-12

摘要:CISP考試是由中國(guó)信息安全測(cè)評(píng)中心直接指定的中心老師進(jìn)行監(jiān)考,采用閉卷筆試的形式,考試內(nèi)容是100個(gè)選擇題,70分以上算通過,考試時(shí)間是2個(gè)小時(shí)。為此,小編整理了CISP認(rèn)證考試試題內(nèi)容,供大家參考。

對(duì)于已經(jīng)在備考CISP考試的考生而言,多做試題會(huì)很有幫助,很多知識(shí)點(diǎn)都會(huì)體現(xiàn)在習(xí)題里面,所以考生的訓(xùn)練量需要很多??荚噧?nèi)容是100個(gè)單項(xiàng)選擇題,70分及以上算通過。下面是有關(guān)CISP認(rèn)證考試試題內(nèi)容,希望可以幫到各位。

1.依據(jù)標(biāo)準(zhǔn)/T20274《信息系統(tǒng)安全保障評(píng)估框架》,信息系統(tǒng)安全目標(biāo)(ISST)中,安全保障目的指的是:

A信息系統(tǒng)安全保障目的

B環(huán)境安全保障目的

C信息系統(tǒng)安全保障目的和環(huán)境安全保障目的

D信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的

2.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子?

A.某網(wǎng)站在訪問量突然增加時(shí)對(duì)用戶連接數(shù)量進(jìn)行了限制,保證已登錄的用戶可以完成操作

B.在提款過程中ATM終端發(fā)生故障,銀行業(yè)務(wù)系統(tǒng)及時(shí)對(duì)該用戶的賬戶余額進(jìn)行了沖正操作

C.某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能,可以確定哪個(gè)管理員在何時(shí)對(duì)核心交換機(jī)進(jìn)行了什么操作

D.李先生在每天下班前將重要文件鎖在檔案室的保密柜中,使偽裝成清潔工的商業(yè)間諜無法查看

3.進(jìn)入21世紀(jì)以來,信息安全成為世界各國(guó)安全戰(zhàn)略關(guān)注的重點(diǎn),紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略,但各國(guó)歷史、國(guó)情和文化不同,網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同,以下說法不正確的是:

A.與安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國(guó)安全保障的重點(diǎn)

B.美國(guó)尚未設(shè)立中央政府級(jí)的專門機(jī)構(gòu)處理網(wǎng)絡(luò)信息安全問題,信息安全管理職能由不同政府部門的多個(gè)機(jī)構(gòu)共同承擔(dān)

C.各國(guó)普遍重視信息安全事件的應(yīng)急響應(yīng)和處理

D.在網(wǎng)絡(luò)安全戰(zhàn)略中,各國(guó)均強(qiáng)調(diào)加強(qiáng)政府管理力度,充分利用社會(huì)資源,發(fā)揮政府與企業(yè)之間的合作關(guān)系

4.與PDR模型相比,P2DR模型多了哪一個(gè)環(huán)節(jié)?

A.防護(hù)

B.檢測(cè)

C.反應(yīng)

D.策略

5.以下關(guān)于項(xiàng)目的含義,理解錯(cuò)誤的是:

A.項(xiàng)目是為達(dá)到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨(dú)特的產(chǎn)品、服務(wù)或成果而進(jìn)行的一次性努力。

B項(xiàng)目有明確的開始日期,結(jié)束日期由項(xiàng)目的管理者根據(jù)項(xiàng)目進(jìn)度來隨機(jī)確定。

C.項(xiàng)目資源指完成項(xiàng)目所需要的人、財(cái)、物等。

D.項(xiàng)目目標(biāo)要遵守SMART原則,即項(xiàng)目的目標(biāo)要求具體(Specific)、可測(cè)量(Measurable)、需相關(guān)方的一致同意(Agreeto)、現(xiàn)實(shí)(Realistic)、有一定的時(shí)限(Timeoriented)

6.2008年1月2日,美目發(fā)布第54號(hào)總統(tǒng)令,建立網(wǎng)絡(luò)安全綜合計(jì)劃(ComprehensiveNationalCybersecurityInitiative,CNCI)。CNCI計(jì)劃建立三道防線:第一道防線,減少漏洞和隱患,預(yù)防入侵;第二道防線,全面應(yīng)對(duì)各類威脅;第三道防線,強(qiáng)化未來安全環(huán)境.從以上內(nèi)容,我們可以看出以下哪種分析是正確的:

A.CNCI是以風(fēng)險(xiǎn)為核心,三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)

B.從CNCI可以看出,威脅主要是來自外部的,而漏洞和隱患主要是存在于內(nèi)部的

C.CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其糟糕的網(wǎng)絡(luò)安全現(xiàn)狀,而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補(bǔ)補(bǔ)

D.CNCI徹底改變了以往的美國(guó)信息安全戰(zhàn)略,不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點(diǎn),而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障

7.下列對(duì)于信息安全保障深度防御模型的說法錯(cuò)誤的是:

A.信息安全外部環(huán)境:信息安全保障是組織機(jī)構(gòu)安全、安全的一個(gè)重要組成部分,因此對(duì)信息安全的討論必須放在政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。

B.信息安全管理和工程:信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系,將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期,在這個(gè)過程中,我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。

C.信息安全人才體系:在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí),培訓(xùn)體系也是信息安全保障的重要組成部分。

D.信息安全技術(shù)方案:“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”

8.某用戶通過賬號(hào)、密碼和驗(yàn)證碼成功登錄某銀行的個(gè)人網(wǎng)銀系統(tǒng),此過程屬于以下哪一類:

A.個(gè)人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別

B.由可信第三方完成的用戶身份鑒別

C個(gè)人網(wǎng)銀系統(tǒng)對(duì)用戶身份的單向鑒別

D.用戶對(duì)個(gè)人網(wǎng)銀系統(tǒng)合法性的單向鑒別

9.Alice用Bob的密鑰加密明文,將密文發(fā)送給Bob。Bob再用自己的私鑰解密,恢復(fù)出明文。以下說法正確的是:

A.此密碼體制為對(duì)稱密碼體制

B.此密碼體制為私鑰密碼體制

C.此密碼體制為單鑰密碼體制

D.此密碼體制為公鑰密碼體制

10.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法:

A.用戶通過自己設(shè)置的口令登錄系統(tǒng),完成身份鑒別

B.用戶使用個(gè)人指紋,通過指紋識(shí)別系統(tǒng)的身份鑒別

C.用戶利用和系統(tǒng)協(xié)商的秘密函數(shù),對(duì)系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答,通過身份鑒別

D.用戶使用集成電路卡(如智能卡)完成身份鑒別

11.為防范網(wǎng)絡(luò)欺詐確保交易安全,網(wǎng)銀系統(tǒng)首先要求用戶安全登錄,然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易,在此場(chǎng)景中用到下列哪些鑒別方法?

A.實(shí)體“所知”以及實(shí)體“所有”的鑒別方法

B.實(shí)體“所有”以及實(shí)體“特征”的鑒別方法

C.實(shí)體“所知”以及實(shí)體“特征”的鑒別方法

D.實(shí)體“所有”以及實(shí)體“行為”的鑒別方法

12.某單位開發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站,該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析、模糊測(cè)試等軟件安全性測(cè)試,在應(yīng)用上線前,項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試,作為安全主管,你需要提出滲透性測(cè)試相比源代碼測(cè)試、模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策,以下哪條是滲透性測(cè)試的優(yōu)勢(shì)?

A.滲透測(cè)試以攻擊者的思維模擬真實(shí)攻擊,能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏洞

B.滲透測(cè)試是用軟件代替人工的一種測(cè)試方法,因此測(cè)試效率更高

C.滲透測(cè)試使用人工進(jìn)行測(cè)試,不依賴軟件,因此測(cè)試更準(zhǔn)確

D.滲透測(cè)試中必須要查看軟件源代碼,因此測(cè)試中發(fā)現(xiàn)的漏洞更多

13.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶穩(wěn)私包,以下關(guān)于用戶隱私保護(hù)的說法哪個(gè)是錯(cuò)誤的?

A.告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會(huì)如何披使用

B.當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí),給用戶選擇是否允許

C.用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù),其它都不是

D.確保數(shù)據(jù)的使用符合、地方、行業(yè)的相關(guān)法律法規(guī)

14.軟件安全保障的思想是在軟件的全生命周期中貫徹風(fēng)險(xiǎn)管理的思想,在有限資源前提下實(shí)現(xiàn)軟件安全最優(yōu)防護(hù),避免防范不足帶來的直接損失,也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中,不符合軟件安全保障思想的是:

A在軟件立項(xiàng)時(shí)考慮到軟件安全相關(guān)費(fèi)用,經(jīng)費(fèi)中預(yù)留了安全測(cè)試、安全評(píng)審相關(guān)費(fèi)用,確保安全經(jīng)費(fèi)得到落實(shí)

B.在軟件安全設(shè)計(jì)時(shí),邀請(qǐng)軟件安全開發(fā)專家對(duì)軟件架構(gòu)設(shè)計(jì)進(jìn)行評(píng)審,及時(shí)發(fā)現(xiàn)架構(gòu)設(shè)計(jì)中存在的安全不足

C.確保對(duì)軟編碼人員進(jìn)行安全培訓(xùn),開發(fā)人員了解安全編碼基本原則和方法,確保開發(fā)人員編寫出安全的代碼

D.在軟件上線前對(duì)軟件進(jìn)行全面安全性測(cè)試,包括源代碼分析、模糊測(cè)試、滲透測(cè)試,未經(jīng)以上測(cè)試的軟件不允許上線運(yùn)行

15.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議:

A.VTP

B.L2F

C.PPTP

D.L2TP

注:以上內(nèi)容來源于網(wǎng)絡(luò),如有侵權(quán)請(qǐng)聯(lián)系客服刪除!

更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請(qǐng)考生以權(quán)威部門公布的內(nèi)容為準(zhǔn)!