CISP認(rèn)證考試試題（3）

對于在備考CISP認(rèn)證考試的考生而言，多做試題會很有幫助，很多知識點都會從習(xí)題中總結(jié)出來，所以考生的試題訓(xùn)練量需要很多。CISP考試內(nèi)容是100個單項選擇題，70分及以上算通過。下面是有關(guān)CISP認(rèn)證考試試題內(nèi)容，希望可以幫到各位。

31. 關(guān)于linux下的用戶和組，以下描述不正確的是 。

A．在 linux 中，每一個文件和程序都?xì)w屬于一個特定的“用戶”

B．系統(tǒng)中的每一個用戶都必須至少屬于一個用戶組

C. 用戶和組的關(guān)系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組

D．root是系統(tǒng)的超級用戶，無論是否文件和程序的所有者都具有訪問權(quán)限

32. 安全的運行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運行環(huán)境安全必不可少的工作，某管理員對即將上線的Windows操作系統(tǒng)進行了以下四項安全部署工作，其中哪項設(shè)置不利于提高運行環(huán)境安全？

A．操作系統(tǒng)安裝完成后安裝最新的安全補丁，確保操作系統(tǒng)不存在可被利用的安全漏洞

B.為了方便進行數(shù)據(jù)備份，安裝 Windows 操作系統(tǒng)時只使用一個分區(qū)C，所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤

C．操作系統(tǒng)上部署防病毒軟件，以對抗病毒的威脅

D．將默認(rèn)的管理員賬號Administrator改名，降低口令暴力破解攻擊的發(fā)生可能

33. 在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活？

A．粒度越小B．約束越細(xì)致C．范圍越大D．約束范圍大

34. 下列哪一些對信息安全漏洞的描述是錯誤的？

A．漏洞是存在于信息系統(tǒng)的某種缺陷。

B．漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中等)。

C．具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來 威脅和損失。

D．漏洞都是人為故意引入的一種信息系統(tǒng)的弱點

35. 賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊？

A．分布式拒絕服務(wù)攻擊(DDoS)

B．病毒傳染

C. 口令暴力破解

D．緩沖區(qū)溢出攻擊

36. 以下哪個不是導(dǎo)致地址解析協(xié)議(ARP)欺騙的根源之一？

A．ARP協(xié)議是一個無狀態(tài)的協(xié)議

B．為提高效率，ARP信息在系統(tǒng)中會緩存

C．ARP緩存是動態(tài)的，可被改寫

D．ARP協(xié)議是用于尋址的一個重要協(xié)議

37. 張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些 欺騙消息。該攻擊行為屬于以下哪類攻擊？

A．口令攻擊

B．暴力破解

C．拒絕服務(wù)攻擊

D．社會工程學(xué)攻擊

38. 關(guān)于軟件安全開發(fā)生命周期(SDL)，下面說法錯誤的是：

A．在軟件開發(fā)的各個周期都要考慮安全因素

B．軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段

C．測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本

D．在設(shè)計階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個軟件開發(fā)成本

39. 在軟件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，規(guī)定了軟件開發(fā)過程中的核心業(yè)務(wù)功能， 下列哪個選項不屬于核心業(yè)務(wù)功能：

A．治理，主要是管理軟件開發(fā)的過程和活動

B. 構(gòu)造，主要是在開發(fā)項目中確定目標(biāo)并開發(fā)軟件的過程與活動

C．驗證，主要是測試和驗證軟件的過程與活動

D. 購置，主要是購買第三方商業(yè)軟件或者采用開源組件的相關(guān)管理過程與活動

40. 從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是：

A．系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全 需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南。

B．系統(tǒng)安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達到企業(yè)的要求，或系 統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。

C．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用面向開發(fā)的方法。

D．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過對安全工作過程進行 管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的先進學(xué)科。

41. 有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)中的基本實施(Base Practices，BP)，正確的理解是：

A．BP 是基于最新技術(shù)而制定的安全參數(shù)基本配置

B．大部分 BP 是沒有經(jīng)過測試的

C. 一項 BP 適用于組織的生存周期而非僅適用于工程的某一特定階段

D．一項 BP 可以和其他 BP 有重疊

42. 以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的？

A．是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險

B．是否可以抵抗大部分風(fēng)險

C．是否建立了具有自適應(yīng)能力的信息安全模型

D. 是否已經(jīng)將風(fēng)險控制在可接受的范圍內(nèi)

43. 以下關(guān)于信息安全法治建設(shè)的意義，說法錯誤的是：

A．信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)

B．明確違反信息安全的行為，并對行為進行相應(yīng)的處罰，以打擊信息安全犯罪活動

C．信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源

D．信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系

44. 小張是信息安全風(fēng)險管理方面的希賽網(wǎng)，被某單位邀請過去對其核心機房經(jīng)受某種災(zāi)害的風(fēng)險進行評估，已知：核心機房的總價價值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價值損失二成四(24%)，歷史數(shù)據(jù)統(tǒng)計告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預(yù)期損失為多少：

A．24萬

B．0.09萬

C．37.5萬

D．9萬

45. 2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳 統(tǒng)手寫簽名和蓋章具有同等的法律效力。以下關(guān)于電子簽名說法錯誤的是：

A．電子簽名——是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)

B．電子簽名適用于民事活動中的合同或者其他文件、單證等文書

C．電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)

D．電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系客服刪除！