2022年CISP模擬試題每日一練（四十四）

CISP考試內容主要包括信息安全保障、網絡安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了2022年CISP考試模擬試題每日一練，大家可以練習下。

單項選擇題：

1.對信息安全事件的分級參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響，依據信息系統(tǒng)的重要程度對信息上系統(tǒng)進行劃分，不屬于正確劃分級別的是（）。

A.特別重要信息系統(tǒng)

B.重要信息系統(tǒng)

C.一般信息系統(tǒng)

D.關鍵信息系統(tǒng)

2.信息安全保障技術框架(Informetion Assurance Technical Fromwork,IATF),目的是為保障政府和工業(yè)的（）提供了（），信息安全保障技術框架的一個核心思想是（），深度防御戰(zhàn)略的三個核心要素：（）、技術和運行(亦稱為操作)

A.信息基礎設施：技術指南：深度防御：人員

B.技術指南：信息基礎設施：深度防御：技術指南：人員

C.信息基礎設施：深度防御：技術指南：人員

D. 信息基礎設施：技術指南：人員：深度防御

3.關于信息安全應急響應管理過程描述不正確的是（）。

A.基于應急響應工作的特點和事件的不規(guī)則性，事先制定出事件應急響應方法和過程，有助于一個組織在事件發(fā)生時阻止混亂的發(fā)生或是在混亂狀態(tài)中迅速恢復控制，將損失和負面 影響降至最低

B.應急響應方法和過程并不是

C.一種被廣為接受的應急響應方法是將應急響應管理過程分為準備、檢測、遏制、恢復和 跟蹤總結 6 個階段

D.一種被廣為接受的應急響應方法是將應急管理過程分為準備、檢測、遏制、根除、恢復 和跟蹤總結 6 個階段，這 6 個階段的響應方法一定能確保事件處理的成功

4.為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網絡實時應用系統(tǒng)進行滲透測試，以下關于滲透測試過程的說法不正確的是（）。

A.由于在實際滲透測試過程中存在不可預知的風險，所以測試前要提醒用戶進行系統(tǒng)和數據 備份，以便出現問題時可以及時恢復系統(tǒng)和數據

B.滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實 際系統(tǒng)中運行時的安全狀況

C.滲透測試應當經過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟

D.為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應該在系統(tǒng)正常業(yè)務運行高峰期進行滲透測試

5.不同的信息安全風險評估方法可能得到不同的風險評估結果，所以組織機構應當根據各 自的實際情況選擇適當的風險評估方法。下面的描述中錯誤的是（）。

A.定量風險分析試圖從財務數字上對安全風險進行評估，得出可以量化的風險分析結果， 以度量風險的可能性和缺失量

B.定量風險分析相比定性風險分析能得到準確的數值，所以在實際工作中應使用定量風險分 析，而不應選擇定性風險分析

C.定性風險分析過程中，往往需要憑借分析者的經驗和直接進行，所以分析結果和風險評 估團隊的素質、經驗和知識技能密切相關

D.定性風險分析更具主觀性，而定量風險分析更具客觀性

6.以下關于 Web 傳輸協(xié)議、服務端和客戶端軟件的安全問題說法不正確的是（）。

A.HTTP 協(xié)議主要存在明文傳輸數據、弱驗性和缺乏狀態(tài)跟蹤等方面的安全問題

B.HTTP 協(xié)議缺乏有效的安全機制，易導致拒絕服務、電子欺騙、嗅探等攻擊

C.Cookie 是為了辨別用戶身份，進行會話跟蹤而存儲在用戶本地終端上的數據，用戶可以隨意查看儲存在 Cookie 中的數據，但其中的內容不能被修改

D.針對 HTTP 協(xié)議存在的安全問題，使用 HTTP 具有較高的安全性，可以通過證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密

注：以上試題資源來源于網絡，如有侵權，請聯(lián)系刪除。