摘要:CISP是注冊(cè)信息安全專業(yè)人員認(rèn)證的意思,2021年信息安全產(chǎn)業(yè)發(fā)展迅速,行業(yè)對(duì)于專業(yè)人士的需求日漸增長,越來越多的考生開始通過考證獲得行業(yè)認(rèn)可。通過考試的前提是扎實(shí)的備考,此次整理的CISP模擬考題希望能對(duì)你們有所幫助。
CISP題庫實(shí)際上不對(duì)外公開,目前對(duì)外公開的試題資料基本是模擬試題或者說是各大機(jī)構(gòu)整理的備考資料。真正的考題需要考生通過報(bào)考機(jī)構(gòu)獲取。此次整理的CISP2021年模擬考題(21)暫無答案,請(qǐng)考生悉知!
101.以下關(guān)于 Web 傳輸協(xié)議、服務(wù)端和客戶端軟件的安全問題說法不正確的是()
A.HTTP 協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗(yàn)性和缺乏狀態(tài)跟蹤等方面的安全問題
B.HTTP 協(xié)議缺乏有效的安全機(jī)制,易導(dǎo)致拒絕服務(wù)、電子欺騙、嗅探等攻擊
C.Cookie 是為了辨別用戶身份,進(jìn)行會(huì)話跟蹤而存儲(chǔ)在用戶本地終端上的數(shù)據(jù),用戶可以隨意查看儲(chǔ)存在 Cookie 中的數(shù)據(jù),但其中的內(nèi)容不能被修改
D.針對(duì) HTTP 協(xié)議存在的安全問題,使用 HTTP 具有較高的安全性,可以通過證書來驗(yàn)證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密
102.常見的訪問控制模型包括自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型等,下面描述中錯(cuò)誤的是()
A.從安全性等級(jí)來看,這三個(gè)模型安全性從低到高的排序是自主訪問控制模型,強(qiáng)制訪問控制模型和基于角色的訪問控制模型
B.自主訪問控制是一種廣泛應(yīng)用的方法,資源的所有者(往往也是創(chuàng)建者)可以規(guī)定誰有權(quán)利訪問他們的資源,具有較好的易用性和可擴(kuò)展性
C.強(qiáng)制訪問控制模型要求主體和客體都有一個(gè)固定的安全屬性,系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以訪問某個(gè)客體,該模型具有一定的抗惡意程序攻擊能力,適用于專用或安全性要求較高的系統(tǒng)
D.基于角色的訪問控制模型的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限, 該模型便于實(shí)施授權(quán)管理和安全約束,容易實(shí)現(xiàn)最小特權(quán),職責(zé)分離等各種安全策略
103.若一個(gè)組織聲稱自己的 ISMS 符合 ISO/IEC 27001 成 GB/T22080 標(biāo)準(zhǔn)要求,其信息安全控制措施通常需要在符合性方面實(shí)施常規(guī)控制,符合性常規(guī)控制這一領(lǐng)域不包括以下哪項(xiàng)控制目標(biāo)()
A.符合法律要求
B.符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性
C.信息系統(tǒng)審核考慮
D.訪問控制的業(yè)務(wù)要求,用戶訪問管理
104.以下關(guān)于 Windows 操作系統(tǒng)身份標(biāo)識(shí)與鑒別,說法不正確的是()
A 本地安全授權(quán)機(jī)構(gòu)(LSA)生成用戶帳戶在該系統(tǒng)內(nèi)安全標(biāo)識(shí)符(SID)
B 用戶對(duì)鑒別信息的操作,如更改密碼等都通過一個(gè)以 Administrator 權(quán)限運(yùn)行的服務(wù)“Security Accounts Manager”來實(shí)現(xiàn)
C Windows 操作系統(tǒng)遠(yuǎn)程登錄經(jīng)歷了 SMB 鑒別機(jī)制、LM 鑒別機(jī)制、Kerberos 鑒別體系等階段
D 完整的安全標(biāo)識(shí)符(SID)包括用戶和組的安全描述,48 比特的身份特權(quán)、修訂版本和可變的驗(yàn)證值
解釋:SYSTEM 權(quán)限最大用戶修改
105.若一個(gè)組織聲稱自己的 ISMS 符合 ISO/IBC 27001 或 GB/T22080 標(biāo)準(zhǔn)要求,其信息安全控制措施通常在以下方面實(shí)施常規(guī)控制,資產(chǎn)管理包含對(duì)資產(chǎn)負(fù)責(zé)和信息分類兩個(gè)控制目標(biāo),對(duì)資產(chǎn)負(fù)責(zé)的控制目標(biāo)是實(shí)現(xiàn)和保護(hù)對(duì)組織資產(chǎn)的適當(dāng)保護(hù),這一控制目標(biāo)的實(shí)現(xiàn)由以下控制措施的落實(shí)來保障,不包括哪一項(xiàng)()
A.資產(chǎn)清單
B.資產(chǎn)負(fù)責(zé)人
C.資產(chǎn)的可接受使用
D.分類指南、信息的標(biāo)記和處理
注:以上試題資源來源于網(wǎng)絡(luò),如有侵權(quán),請(qǐng)聯(lián)系刪除。