CISP练习题

信息系统的治理的重要步骤，下列关于信息资产的说法错 误的是：

A.资产清单的编制是风险治理的一个的先决条件

B.信息安全治理中涉及的资产是指信息资产，即业务数据、 合同协议

C．在制定资产清单的时候是指信息资产的重要性，业务价 值和安全分类，确----的爱护级别

D．在资产单中应当包括将资产从灾难复原而需要的信息， 如资产类型、--------许可信息等 2. tcp/IP协议的4层网络模型是？ A应用层、传输层、网络层和物理层 B应用层、传输层、网络层和网络接口层 C应用层、数据链路层、网络层和网络接口层 D会话层、数据连接层、网络层和网络接口层 3什么设备能够隔离ARP广播帧。 A路由器 B网桥

C以太网交换机 D集线器

4以下那一项不是应用层防火墙的特点？ A更有效的阻止应用层攻击

B工作在OSI模型的第七层 C速度快且对用户透亮 D比较容易进行审计

5 桥接或透亮模式是目前比较流行的防火墙部署方式，这种 方式-------？

A不需要对原有的网络配置进行修改 B性能比较高

C防火墙本身不容易受到攻击 D易于在防火墙上实现NAT

6以下哪一项不是IDS能够解决的问题： A补偿网络协议的弱点 B识别和报告对数据文件的改动 C统计分析系统中专门活动模式 D提升系统监控能力

7私网地址用于配置本地网络，下面是地址，属于-------？ A100.0.0.0

B172.15.0.0 C192.168.0.0 D244.0.0.0

172.16.-172.31 10. 192.168.

8 在局域网环境中，以下那一项技术要紧是用来提供网络冗 -------？

A 网络镜像 B RAID5 C HSRP D全双工通信

9 作为一个组织中的信息系统一般用户，以下那一项是不应 该了解的？

A谁负责信息安全治理制度的制定和公布 B谁负责监督安全制度的执行

C信息系统发生灾难后，进行复原工作的具体流程 D假如违反了安全制度可能会受到惩处措施

10信息分类是信息安全治理工作的重要环节，下面那一项不 是对信息进行分类时需要重-----？ A信息的价值

B信息的时效性 C信息的储备方式 D法律法规的规定

11 下面那一项关于对违反安全规__________定的职员进行惩戒的说法 错误的是？

A对安全违规的发觉和验证是进行惩戒的重要前提 B C D

具体描述不清晰

12-----------？险分析的目标是达到： A风险阻碍和爱护性措施之间的价值平稳 B风险阻碍和爱护性措施之间的操作平稳 C风险阻碍和爱护性措施之间的技术平稳 D风险阻碍和爱护性措施之间的逻辑平稳 13以下哪一项是DOS攻击的一个实例？ A SQL注入 B IP Soof C S mur f攻击 D 字典破解

除了那个还有CC、 PING OF DEATH、DEAR DROP、SYNFLOOD、 FRAGGLE碎片攻击

14 下面一行是某个UNIX 文件的详情，关于该文件权限的描 述不正确的是‘drwxr—xrwx 2 group user 4096 05-05 09：14 file

A这是一个名目，名称是‘file’ B文件属组是group

C“其他人”对该文件具有读、写、执行权限（那个是错误的） D user的成员对此文件没有写权限

15下列哪一组是Orecle数据库的默认用户名和默认口令？ A用户名：Scott；口令：tiger

B用户名：‘sa’：口令：null C用户名：‘ROOT’口令：null D用户名：‘ADMIN’口令：null

16 宏病毒是一种专门感染微软office 格式文件的病毒，下 列（） A*.exe B*.doc C*.xls D*.ppt

那个题目描述不清晰

假如说宏病毒可不能感染什么样的文件，那么我们说是*.exe

假如说宏病毒可能是什么样的扩展名，则可能是*.exe 17 下面把一项最准确的阐述了安全监测措施和安全审计措 施之间的区别？

A审计措施不能自动执行，而监测措施能够自动执行 B监测措施不能自动执行，而审计措施能够自动执行 C 审计措施使一次性地或周期性进行，而审计措施是实时地 进行

D 监测措施是指一次性地或周期性地进行，而审计措施是实 时地进行

18口令是验证用户身份的最常用手段，以下那一种口令的风 险阻碍范畴最大-----------？

A长期没有修改的口令 B过短的口令两个人公用的口令 C两个人公用的口令 D设备供应商提供的默认口令

19 下列那一项是对信息系统经常不能满足用户需求的最好 说明

A没事适当的质量治理工具 B经常变化的用户需求 C用户参与需求挖掘不够

D项目治理能力不强

20“配置治理”是系统工程中的重要概念。它在软件工程和 信息安全工程中得“配置治理”的说明最准确的是？ A配置治理的本质是变更流程治理

B 配置治理是一个对系统（包括软件、硬件、文档、测试设 备，开发-----行操纵的过程

C治理配置是对信息系统的技术参数进行治理 D治理配置是对系统基线和源代码的版本进行治理 21在信息系统的设计时期必须做以下工作除了： A决定使用哪些安全操纵措施 B对设计方案的安全性进行评估 C开发信息系统的运行爱护手册 D开发测试、验收和认可方案

22在SSE-CMM中对工程过程能力的评判分为三个层次，由宏 观到微观依次是

A能力级别-公共特点（CF）-通用实践（GP） B能力级别-通用实践-（GP）-公共特点（CF） C通用实践-（GP）-能力级别-公共特点（CF） D公共特点（CF）-能力级别-通用实践-（GP）

通用实践—公共特点—能力级别 从微观到宏观

23依照《信息系统安全保证评估框架第四部分：工程保证》 安全工程过程

A 未实施、差不多实施、打算跟踪、量化操纵、充分定义和持 续改进----

B 未实施、差不多实施、打算跟踪，充分定义、量化操纵和持 续改进------

C 差不多实施、打算跟踪、充分定义、量化操纵和连续改进等 5个------

D 差不多实施、打算跟踪、量化操纵、充分定义和连续改进等 5个------

工程过程为6个，假如仅仅能力成熟度，实际上没有做如何 能谈及做的如何呢

25何种情形下，一个组织应当对公众和媒体公告其信息系统

中发生的信息安全-----------？

A当信息安全事件的负面阻碍扩展到本组织以外时 B只要发生了安全事件就应当公告

C只有公众的生命财产安全受到庞大危害时才公告 D当信息安全事件平息之后

26面对ISO270001的说法最准确的是： A该标准的题目是信息安全治理体系实施指南

B该标准为度量信息安全治理体系的开发和实施过称提供的 一套标准 C D

建立信息安全治理体系的要求

27以下关于IATF信息安全保证技术框架的说法错误的是： A它有美国国家安全局公布公布

B它是核心思想是信息安全深度防备（Defenense-in-Depth） C它认为深度防备应当从策略、技术和运维三个层面来进行 D

1. IATF 描述哪个是错误的？策略、技术和运行（没有策略，是人）

IATF 是美国国家安全局（NSA）制定的，为爱护美国政府和工业界的信息与信息技术设施 提供技术指南。IATF从整体、过程的角度看待信息安全问题，其代表理论为“深度防护战略 （Defense-in-Depth）”。IATF强调人、技术、操作这三个核心原则，关注四个信息安全保证 领域：爱护网络和基础设施、爱护边界、爱护运算环境、支撑基础设施。人，借助技术的支 持，实施一系列的操作过程，最终实现信息保证目标，这确实是IATF最核心的理念之一。IATF 是ISMS的雏形，ISMS的四个差不多要素：策略、组织（人）、技术、运行（操作）

28---有关我信息安全治理体制的说法错误的是？

A目前我国的信息安全保证工作是相关部门各司其职，相互

配合、齐抓共管

B我国的信息安全保证工作综合利用法律、治理和技术的手 段

C我国信息安全的信息安全治理坚持综合治理、及时检测、 快速响应的方针----

D我国关于信息安全责任的原则是是谁主管，谁负责：谁经 营，谁负责------ 经营

29一家商业公司的网站发生黑客非法入侵和攻击事件后，应 及时向那一家--------------？

A公安部公共信息网络安全监察及其各地相应部门 B国家运算机网络与信息安全治理中心

C互联网安全协会 D信息安全产业商会

30为中国信息安全测评中心cisp注册信息安全专业人员， 对通过cisp之外还需要满足一差不多要求，以下哪一项不属 于这些差不多要求：

A满足注册信息安全人员（cisp）注册资质的教育背景要求 B同意并遵守注册信息安全专业人员（cisp）执业准则 C在政府机关或重要信息系统的主管后运营单位从事信息安 全保证工作或为其提供安全

D参加并完成由中国信息安全测评中心（CNITSEC）授权培训

机构组织的注册信息安全专业人员（cisp）专业培训 31下列信息安全的认识不正确的是： A安全是会随时刻的推移而变化 B世上没有100%的安全

C合理的投资加可识别的风险即为安全 D安全是相对的，不安全是绝对的 32信息安全保证的最终目标是： A保证信息系统实现组织机构的使命 B确保系统的保密性，完整性和可用性

C把握系统的风险，制定正确的策略

D使系统的技术、治理、工程过程和人员等安全保证要素达 -------

整个生命周期的动态连续性的长效安全

33 OSI开放系统互联安全体架构中的安全服务分为鉴别服 务，访问操纵、抵赖服务，其中隐秘性服务描述正确的是? A包括原发方抵赖和同意方抗抵赖

B包括连接隐秘性、无连接隐秘性、选择字段隐秘性和业务 --------

C包括对等实体鉴别和数据源鉴别

D包括具有复原功能的连接完整性，没有复原功能能的连接 完---和选择字段无连接完整性

34、对称密钥的密码技术具有专门多优点，其中不包括：

A可提供数字签名、零知识证明等额外服务 B加密/解密速度快，不需占用较多在资源 C通信方事先不需要通过保密信道交换密钥 D密钥持有量大大减少

假如非对称的话，题干上，则选择B，而ACD为非对称的， 因此题目应该是非对称

35关于加密算法的应用范畴，说话正确的有（ ） A DSS用于数字签名，RSA用于加密和签名 B DSS用于密钥交换，IDEA用于加密和签名 C DSS用于数字签名，MD5用于加密和签名 D DSS用于加密和签名，MD5用于完整性效验

36以下哪一项是基于一个大的整数专门难分解成两个素数因 数？ A ECC B RSA C D

37下面哪种VPN技术工作的网络协议层次最高： A IPSEC VPN B SSL VPN C L2TP VPN D GRE VPN

38PKI在验证一个数字证书时需要查看——来确认 A ARL

B CSS

C KMS D CRL

39---公司要为机房配备灭火器材，你认为应该选择下面哪 一组最----？

A 干粉灭火器、卤代烷灭火器、二氧化的灭火器 B 水型灭火器、泡沫灭火器、卤代烷灭火器卤代烷灭火器

C 粉状石墨灭火器、铸铁屑灭火器 D Halon灭火器、卤代烷灭火器

40“公共交换 网络”是一种语音通信电路交换网络，目前在技术-------它的英文缩写是： A PSTN B DDN C ISDN D ATM

41以下哪一项不是应用层防火墙的特点？ A更有效的阻止应用层攻击 B工作在OSI模型的第七层 C 速度快且对用户透亮

D比较容易进行审计

42----桥接或通明模式是比较流行防火墙部署方式，这种方 式----？

A不需要对原有的网络配置进行修改 B性能比较高

C防火墙本身不容易受到攻击 D易于在防火墙上实现NAT

43以下哪一项不是IDS能够解决的问题： A 补偿网络协议的弱点 B识别和报告对数据文件的改动 C统计分析系统ongoing专门活动模式 D提升系统监控能力

44私网地址用于配置本地网络，下面的地址中，属于私网 ----？ A 1000.0.0.0 B 172.15.O.O C 192.168.0.0

D 244.0.0.0

45在局域网环境中，以下哪一项技术要紧是用来提供网络冗 ------？ A 网络镜像 B RAID5 C HSRP和STP

D 全双工通信

46当一个应用系统被攻击并受到了破坏后，系统治理员重新 安装和配置了此应用----前治理员无需查看： A 访问操纵列表 B 系统服务配置情形 C 审计记录

D 用户账户和权限的设置

47网络隔离技术的目标是确保把有害的攻击隔离，在保证可 信网络内部不外泄前提-----络间数据的安全交换，下列隔 离技术中，安全性最好的是———。 A 多重要安全网关 B 防火墙 C VLAN 隔离

D 物理隔离

48在Windows xp 中用事件查看器查看日志文件，可看到的 日志包括--------。

A用户访问日志，安全性日志，系统日志和IE日志 B应用程序日志，安全性日志，系统日志和IE日志 C网络攻击日志，安全性日志，记账日志和IE日志 D网络攻击日志，安全性日志，服务日志和IE日志 49Windows操作系统的注册表运行命令是： A Regsvr32

B Regegit C Regegit.msc D Regegit.mmc

50 Windows服务说法错误的是（ ）

A 为了提升系统的安全性治理员应尽量关闭不需要的服务 B 能够作为独立的进程运行或以DLL的形式依附在Svchost C Windows服务只有在用户成功登录系统后才能运行 D Windows服务通常是以治理员的身份运行的

51在linux系统中配置文件通常存放在什么名目下-----？ A．/boot B．/etc C．/dev D．/lib

52----关于SQL server数据库安全的说法错误的是： A永久不要使用SA账号

B不要设置太多具有治理权限的账号

C在进行安全配置前，应安装最新的补丁程序------ D设置健壮密码，并定期更换 53以下对蠕虫病毒的描述错误的是： A蠕虫的传播无需用户操作

B蠕虫会消耗内存或网络宽带，导致DOS C蠕虫的传播需要通过“宿主”程序或文件

D蠕虫程序一样由“传播模块”、“隐藏模块”和----------- 54为了防止电子邮件中的恶意代码，应该用——方式阅读电 子邮件 A纯文本 B网页

C程序 D回话

55以下哪一项不是流氓软件的特点？

A通常通过诱骗或其他软件捆绑在用户不明白的情形下 B通常添加驱动爱护使用户难以卸载 C通常会启动无用的程序白费运算机的资源 D通常会显示下流的言论

56在典型的web应用站点的层次结构中，“中间件”是在哪 里运行的--- A扫瞄器客户端 B web服务器 C应用服务器 D数据库服务器

57为了应对日益严峻的垃圾邮件问题，人们设计和应用了各 种垃圾文件消耗资源最多的一种垃圾邮件过滤机制： ASMTP身份认证 B逆向名字解析

C黑名单过滤 D内容过滤__