2022年CISP模擬試題每日一練（二十七）

CISP考試內容主要包括信息安全保障、網絡安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了2022年CISP考試模擬試題每日一練，大家可以練習下。

單項選擇題：

1.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網絡實時應用系統(tǒng)進行滲透測試，以下關于滲透測試過程的說法不正確的是（）。

A.由于在實際滲透測試過程中存在不可預知的風險，所以測試前要提醒用戶進行系統(tǒng)和數(shù)據(jù)備份， 以便出現(xiàn)問題時可以及時恢復系統(tǒng)和數(shù)據(jù)

B.滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實際系統(tǒng) 中運行時的安全狀況

C.滲透測試應當經過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟

D.為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應該在系統(tǒng)正常業(yè)務運行高峰期進行滲透測試

2.由于信息系統(tǒng)的復雜性，因此需要一個通用的框架對其進行解構和描述，然后再基于此框架討論信息系統(tǒng)的（）。在 LATF 中，將信息系統(tǒng)的信息安全保障技術層面分為以下四個焦點領域：（）：區(qū)域邊界即本地計算環(huán)境的外緣；（）；支持性基礎設施，在深度防御技術方案中推薦（）原則、（）原則。

A.網絡和基礎設施;安全保護問題;本地的計算機環(huán)境;多點防御;分層防御

B.安全保護問題;本地的計算機環(huán)境;多點防御;網絡和基礎設施;分層防御

C.安全保護問題;本地的計算機環(huán)境;網絡和基礎設施;多點防御;分層防御

D.本地的計算環(huán)境;安全保護問題;網絡和基礎設施;多點防御;分層防御

3.即使最好用的安全產品也存在（）。結果，在任何的系統(tǒng)中敵手最終都能夠找出一個被開發(fā)出的漏洞，一種有效的對策是在敵手和安的目標之間配備多種（），每一種機制都應包括（）兩種手段。

A.安全機制：安全缺陷：保護和檢測

B.安全缺陷：安全機制：保護和檢測

C.安全缺陷：保護和檢測：安全機制

D.安全缺陷：安全機制：外邊和內部

4.應急響應是信息安全事件管理的重要內容?；趹表憫ぷ鞯奶攸c和事件的不規(guī)則性，事先創(chuàng)定出事件應急響應方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生成是在混亂狀態(tài)中迅速恢復控制， 將損失和負面影響降到最低。應急響應方法和過程并不是。一種被廣為接受的應急響應方法是將應急響應管理過程分為 6 個階段，為準備→檢測→遏制-，根除→恢復→跟蹤總結。請問下列說法有關于信息安全應急響應管理過程錯誤的是（）。

A、確定重要資產和風險，實施針對風險的防護措施是信息安全應急響應規(guī)劃過程中最關鍵的步驟

B、在檢測階段，首先要進行監(jiān)測、報告及信息收集

C、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有完全關閉所有系統(tǒng)、 拔掉網線等

D、應按照應急響應計劃中事先制定的業(yè)務恢復優(yōu)先順序和恢復步驟，順次恢復相關的系統(tǒng)

5.王工是某單位的系統(tǒng)管理員，他在某次參加單位組織的風險管理工作時，發(fā)現(xiàn)當前案例中共有兩個重要資產;資產 A1 和資產 A2;其中資產 A1 面臨兩個主要威脅：威脅 T1 和威脅 T2;而資產 A2 面臨一個主要威脅：威脅 T3;威脅 T1 可以利用的資產 A1 參在的兩個脆弱性：脆弱性 V1 和脆弱性 V2;威脅 T2 可以利用的資產 AI 存在的三個脆弱性：脆弱性 V3、脆弱性 V4 和脆弱性 V5;可以利用的資產 A2 存在的兩個脆弱性：脆弱性 V6 和脆弱性 V7。根據(jù)上述條件，請問：使用相乘法時，應該為資產A1 計算幾個風險值（）。

A.2

B.3

C.5

D.6

注：以上試題資源來源于網絡，如有侵權，請聯(lián)系刪除。