2022年CISP模擬試題每日一練（三十三）

CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務(wù)連續(xù)性、安全工程與運(yùn)營(yíng)、安全評(píng)估、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計(jì)算環(huán)境安全、軟件安全開(kāi)發(fā)共十個(gè)知識(shí)域。想要通過(guò)考試，大家一定要掌握以上知識(shí)。為幫助大家備考，小編為大家整理了2022年CISP考試模擬試題每日一練，大家可以練習(xí)下。

單項(xiàng)選擇題：

1.在某次信息安全應(yīng)急響應(yīng)過(guò)程中，小王正在實(shí)施如下措施，消除或阻斷攻擊派，找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強(qiáng)防范措施、格式化被感染惡意程序的介質(zhì)，請(qǐng)問(wèn)，按照 PDCERF 應(yīng)急響應(yīng)方法，這些工作應(yīng)處于以下哪個(gè)階段（）。

A.準(zhǔn)備階段

B.檢測(cè)階段

C.遏制階段

D.根除階段

2.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識(shí)之后，對(duì)于建立信息安全管理體系，自己總結(jié)了 下面四條要求，其中理解不正確的是（）。

A.信息安全管理體系的建立應(yīng)參照國(guó)際國(guó)內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施，因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問(wèn)題后，制定的能共同的和重復(fù)使用的規(guī)則

B.信息安全管理體系應(yīng)強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制的思想，因?yàn)榘踩珕?wèn)題是動(dòng)態(tài)的，系統(tǒng)所處的 安全環(huán)境也不會(huì)一成不變，不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)

C.信息安全管理體系的建立應(yīng)基于一次風(fēng)險(xiǎn)評(píng)估徹底解決所有安個(gè)問(wèn)題的思想，因?yàn)檫@是有關(guān)信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預(yù)防控制為主的思想

D.信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn)，因?yàn)橐獙?duì)信息安全管理涉及的方方面面實(shí)施較為均衡的管理，避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過(guò)低

3.北京某公司利用 SSE-CMM 對(duì)其自身工程隊(duì)伍能力進(jìn)行自我改善，其理解正確的是（）。

A.系統(tǒng)安全工程能力成熟度模型 SSE-CMM 定義了 6 個(gè)能力級(jí)別，當(dāng)工程隊(duì)伍不能執(zhí)行一個(gè)過(guò)程域的基本實(shí)踐時(shí)，該過(guò)程的過(guò)程能力是 0 級(jí)

B.達(dá)到 SSE-CMM 較高級(jí)以后，工程隊(duì)伍執(zhí)行同一個(gè)過(guò)程，每次執(zhí)行的結(jié)果質(zhì)量必須相同

C.系統(tǒng)安全工程能力成熟度模型 SSE-CMM 定義了 3 個(gè)風(fēng)險(xiǎn)過(guò)程：評(píng)價(jià)威脅，評(píng)價(jià)脆弱性， 評(píng)價(jià)影響

D.SSE-CMM 強(qiáng)調(diào)系統(tǒng)安全工程與其他工程學(xué)科的區(qū)別性和獨(dú)立性

4.關(guān)于信息安全事件管理和應(yīng)急響應(yīng)，以下說(shuō)法錯(cuò)誤的是（）。

A.應(yīng)急響應(yīng)是指組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施

B.應(yīng)急響應(yīng)方法，將應(yīng)急響應(yīng)管理過(guò)程分為遏制、根除、處置、恢復(fù)、報(bào)告和跟蹤 6 個(gè)階段

C.對(duì)信息安全事件的分級(jí)主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響三方面因素

D.根據(jù)信息安全事件的分級(jí)參考要素，可將信息安全事作為分為 4 個(gè)級(jí)別;特別重大事件(II 級(jí))、較大事件(III 級(jí))和一般事件(IV 級(jí))

5.某電子商務(wù)網(wǎng)站在開(kāi)發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分析電子商務(wù)網(wǎng)站所面臨的威 脅。STRIDE 是微軟 SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing 是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅（）。

A.網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施 DDos 攻擊，降低網(wǎng)站訪問(wèn)速度

B.網(wǎng)站使用 http 協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄漏，例如購(gòu)買的商品金額等

C.網(wǎng)站使用 http 協(xié)議進(jìn)行瀏覽等操作，無(wú)法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改

D.網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息

注：以上試題資源來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪除。