CISP認證考試試題（1）

對于已經(jīng)在備考CISP考試的考生而言，多做試題會很有幫助，很多知識點都會體現(xiàn)在習題里面，所以考生的訓練量需要很多?？荚噧?nèi)容是100個單項選擇題，70分及以上算通過。下面是有關CISP認證考試試題內(nèi)容，希望可以幫到各位。

1.依據(jù)標準/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標(ISST)中，安全保障目的指的是：

A．信息系統(tǒng)安全保障目的

B．環(huán)境安全保障目的

C．信息系統(tǒng)安全保障目的和環(huán)境安全保障目的

D．信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術安全保障目的和工程安全保障目的

2.以下哪一項是數(shù)據(jù)完整性得到保護的例子？

A．某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進行了限制，保證已登錄的用戶可以完成操作

B．在提款過程中ATM終端發(fā)生故障，銀行業(yè)務系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作

C．某網(wǎng)管系統(tǒng)具有嚴格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操作

D．李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看

3.進入21世紀以來，信息安全成為世界各國安全戰(zhàn)略關注的重點，紛紛制定并頒布網(wǎng)絡空間安全戰(zhàn)略，但各國歷史、國情和文化不同，網(wǎng)絡空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說法不正確的是：

A．與安全、社會穩(wěn)定和民生密切相關的關鍵基礎設施是各國安全保障的重點

B．美國尚未設立中央政府級的專門機構(gòu)處理網(wǎng)絡信息安全問題，信息安全管理職能由不同政府部門的多個機構(gòu)共同承擔

C．各國普遍重視信息安全事件的應急響應和處理

D．在網(wǎng)絡安全戰(zhàn)略中，各國均強調(diào)加強政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)之間的合作關系

4.與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)？

A．防護

B．檢測

C．反應

D．策略

5.以下關于項目的含義，理解錯誤的是：

A．項目是為達到特定的目的、使用一定資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨特的產(chǎn)品、服務或成果而進行的一次性努力。

B．項目有明確的開始日期，結(jié)束日期由項目的管理者根據(jù)項目進度來隨機確定。

C．項目資源指完成項目所需要的人、財、物等。

D．項目目標要遵守SMART原則，即項目的目標要求具體(Specific)、可測量（Measurable)、需相關方的一致同意(Agreeto)、現(xiàn)實(Realistic)、有一定的時限(Timeoriented)

6.2008年1月2日，美目發(fā)布第54號總統(tǒng)令，建立網(wǎng)絡安全綜合計劃（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI計劃建立三道防線：第一道防線，減少漏洞和隱患，預防入侵；第二道防線，全面應對各類威脅；第三道防線，強化未來安全環(huán)境．從以上內(nèi)容，我們可以看出以下哪種分析是正確的：

A．CNCI是以風險為核心，三道防線首要的任務是降低其網(wǎng)絡所面臨的風險

B.從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的

C．CNCI的目的是盡快研發(fā)并部署新技術徹底改變其糟糕的網(wǎng)絡安全現(xiàn)狀，而不是在現(xiàn)在的網(wǎng)絡基礎上修修補補

D．CNCI徹底改變了以往的美國信息安全戰(zhàn)略，不再把關鍵基礎設施視為信息安全保障重點，而是追求所有網(wǎng)絡和系統(tǒng)的全面安全保障

7.下列對于信息安全保障深度防御模型的說法錯誤的是：

A．信息安全外部環(huán)境：信息安全保障是組織機構(gòu)安全、安全的一個重要組成部分，因此對信息安全的討論必須放在政策、法律法規(guī)和標準的外部環(huán)境制約下。

B．信息安全管理和工程：信息安全保障需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設信息系統(tǒng)。

C．信息安全人才體系：在組織機構(gòu)中應建立完善的安全意識，培訓體系也是信息安全保障的重要組成部分。

D．信息安全技術方案：“從外而內(nèi)、自下而上、形成邊界到端的防護能力”

8.某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一類：

A．個人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別

B．由可信第三方完成的用戶身份鑒別

C．個人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別

D．用戶對個人網(wǎng)銀系統(tǒng)合法性的單向鑒別

9.Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復出明文。以下說法正確的是：

A．此密碼體制為對稱密碼體制

B．此密碼體制為私鑰密碼體制

C．此密碼體制為單鑰密碼體制

D．此密碼體制為公鑰密碼體制

10.下列哪一種方法屬于基于實體“所有”鑒別方法：

A．用戶通過自己設置的口令登錄系統(tǒng)，完成身份鑒別

B．用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別

C．用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進行正確應答，通過身份鑒別

D．用戶使用集成電路卡(如智能卡)完成身份鑒別

11.為防范網(wǎng)絡欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些鑒別方法？

A．實體“所知”以及實體“所有”的鑒別方法

B．實體“所有”以及實體“特征”的鑒別方法

C．實體“所知”以及實體“特征”的鑒別方法

D．實體“所有”以及實體“行為”的鑒別方法

12.某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務的應用網(wǎng)站，該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試，在應用上線前，項目經(jīng)理提出了還需要對應用網(wǎng)站進行一次滲透性測試，作為安全主管，你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領導做決策，以下哪條是滲透性測試的優(yōu)勢？

A.滲透測試以攻擊者的思維模擬真實攻擊，能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞

B．滲透測試是用軟件代替人工的一種測試方法，因此測試效率更高

C．滲透測試使用人工進行測試，不依賴軟件，因此測試更準確

D．滲透測試中必須要查看軟件源代碼，因此測試中發(fā)現(xiàn)的漏洞更多

13.軟件安全設計和開發(fā)中應考慮用戶穩(wěn)私包，以下關于用戶隱私保護的說法哪個是錯誤的？

A．告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用

B．當用戶的數(shù)據(jù)由于某種原因要被使用時，給用戶選擇是否允許

C．用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是

D．確保數(shù)據(jù)的使用符合、地方、行業(yè)的相關法律法規(guī)

14.軟件安全保障的思想是在軟件的全生命周期中貫徹風險管理的思想，在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護，避免防范不足帶來的直接損失，也需要關注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中，不符合軟件安全保障思想的是：

A．在軟件立項時考慮到軟件安全相關費用，經(jīng)費中預留了安全測試、安全評審相關費用，確保安全經(jīng)費得到落實

B．在軟件安全設計時，邀請軟件安全開發(fā)專家對軟件架構(gòu)設計進行評審，及時發(fā)現(xiàn)架構(gòu)設計中存在的安全不足

C．確保對軟編碼人員進行安全培訓，開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼

D．在軟件上線前對軟件進行全面安全性測試，包括源代碼分析、模糊測試、滲透測試，未經(jīng)以上測試的軟件不允許上線運行

15.以下哪一項不是工作在網(wǎng)絡第二層的隧道協(xié)議：

A．VTP

B．L2F

C．PPTP

D．L2TP

注：以上內(nèi)容來源于網(wǎng)絡，如有侵權請聯(lián)系客服刪除！