最新CISP必须练习题(F)100题_V18-03版(带答案)

admin管理员组

文章数量:1532229

2024年1月26日发(作者：)

信息安全专业考试模拟练习题目（F）1.以下关于软件安全问题对应关系错误的是？A.缺点（Defect）-软件实现和设计上的弱点B.缺陷（Bug）-实现级上的软件问题C.瑕疵（Flaw）-一种更深层次、设计层面的问题D.故障（Failure）-由于软件存在缺点造成的一种外部表吸纳，是静态的、程序执行过程中出现的行为表现答案：D2.自主访问控制（DAC）是应用很广泛的访问控制方法，常用于多种商业系统中，以下对DAC模型的理解中，存在错误的是（）A、在DAC模型中，资源的所有者可以确定谁有权访问它们的资源B、DAC是一种对单位单个用户执行访问控制的过程和措施C、DAC可为用户提供灵活调整的安全策略，具有较好的易用性和可扩展性，可以抵御特洛伊木马的攻击D、在DAC中，具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体答案：C3.恶意代码经过20多年的发展，破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日常生活影响越来越大。小李发现在自己的电脑查出病毒的过程中，防病毒软件通过对有毒软件的检测，将软件行为与恶意代码为模型进行匹配，判断出该软件存在恶意代码，这种方式属于（）A、简单运行B、行为检测C、特征数据匹配D、特征码扫描答案：B4.信息安全风险值应该是以下哪些因素的函数？（）

A、信息资产的价值、面临的威胁以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如国家秘密、商业秘密等D、网络、系统、应用的复杂程度答案：A5.管理层应该表现对（）、程序和控制措施的进行支持，并以身作则。管理职责要确保雇员和承包方人员都了解（），其（）角色和职责，并遵守相应的条款和条件。组织要建立信息安全意识计划，并定期组织信息安全（）组织要建（）。答案：教材第113页，第一段和第二段，请背诵下来，最好要理解。6.主要的信息安全服务分为（）、（）、（）、（）、访问控制A、访问控制、数据加密、B、访问控制、加密、密秘性C、访问控制、加密、数据完整性、序列D、机密性、完整性、可用性、访问控制答案：D教材第346页，包括：鉴别、访问控制、数据保密性、数据完整性、抗抵赖。7.在一个网络中，当拥有的网络域址容量不够多，终端计算机没有必要分配静态IP地域时，可以采用过在计算机连拔到网络时，每次为其临时在IP地址中选择一个IP地址并分配的方式为（）A、动态分配IP地址B、静态分配IP地址C、网络域址转换分配地址D、手动分配答案：A8.信息安全风险管理地基于（）的信息安全管理，也就是，始终以()为主线进行信息安全的管理。（）的不同来理解信息安全风险管理的侧重点，即（）选择的应用和对象重点应有所不同。A.风险；风险；信息系统；风险管理

B.风险；风险；风险管理；信息系统C.风险管理；信息系统；风险；风险D.风险管理；风险；风险；风险；信息体统答案：A，教材第88页，第3.2.1的最后一段话，背下来，要理解。9.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要，计划编制本单位信息安全应急响应预案。在向主管领导些报告施，他列举了编制信息安全应急响应预案的好处和重要性，在他罗列的四条理由中，其中不适合作为理由的一条是（）A、应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式B、应急预案是提高应对网络和信息系统突发事件能力，减少突发事件造成的损失和危害，保障信息系统运行平稳、安全、有序、高效的手段C.编制应急预案是国家网络安全法对所有单位的强制要求，因此必须建设D.应急预案是保障单位业务系统信息安全的重要措施答案：C10.数据链路层负责监督相邻网络节点的信息流动，用检错或纠错技术来确保正确的传输，确保解决该层的流量控制问题，数据链路层的数据单元是（）A.报文B.比特流C、帧D、包答案：职业道德包括诚实守信，遵纪守法，主要有（）、（）、（）。A．不通过计算机网络系统进行造谣、欺诈、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为；不在公众网络传播反动、暴力、黄色、低俗信息及非法软件；B．热爱信息安全工作岗位和贡献；帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责的提出应对信息安全问题的建设和帮助；C．自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机

网络系统谋取非法利益和破坏社会和谐的行为；自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为；D、通过持续学习保持并提升自身的信息安全知识；利用日常工作、学术交流等各种方式保持和提升安全实践能力，以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为。答案：第67页，第2节内容背诵下来，答案为A，A是和题干中的衔接部分的。12.某公司财务服务器收到攻击被攻击者删除了所有用户数据，包括系统日志，公司网络管理员在了解情况后，给出了一些解决措施建议，作为信息安全主管，你必须支持不恰当的操作并阻止此次操作（）A.由于单位内无专业网络安全应急人员，网站管理员希望出具授权书委托书某网络安全公司技术人员对本次攻击进行取证B.由于公司缺乏备用磁盘，因此计划特恢复服务器上被删除的日志文件进行本地恢复后再提取出来进行取证C．由于公司缺乏备用磁盘，因此网络管理员申请采购与服务器磁盘同一型号的硬盘用于存储恢复出来的数据D．由于公司并无专业网络安全应急人员，因此由网络管理员负责此次事件的应急协调相关工作答案：B，因为破坏了证据。13.在你对终端计算机进行Ping操作，不同操作系统回应的数据包含中初始ITL值是不同的，ITL是IP协议包中的一个信，它告诉网络，数据包在网络中的时间是否太长而应被丢弃。（简而言之，你可以通过TTL值推算一下下列数据包已经通过了多少个路由器）根据回应的数据包中的TTL值，可以大致判断（）A.内存容量B.操作系统的类型C.对方物理位置D.对方的MAC地址答案：B14.（）攻击是建立在人性“弱点”利用基础上的攻击，大部分的社会工程学攻击都是经过（）才能实施成功的。即时是最简单的“直接攻击”也需要进行（）。如果希望受害者攻击者所需要的

（）。答案：教材第229页，最下面一段话，理解和记忆背诵下来。（社会工程学攻击）、（精心策划）、（前期准备）、（身份）。尽管都理解，但只有和原文一样才能得分。15.某公司为加强员工的信息安全意识，公司员工方式入侵公司信息系统是，答案：建议看教程的管理知识点，具体知识点如下：知识点：管理层切实履行相应的管理职责是ISMS能够成功实施的最关键因素，会对ISMS建设产生推动作用。16.恶意软件分析是快速准确的识别，实际上是虚拟化技术的应用，是动态分析中广泛采用的一种技术，A.动态分析是指在虚拟进行环境中，B．动态分析针对性强，并具有较高的C.动态分析通过对其文件的分析D.动态分析通过监控系统建设，文件和注册表等方面出现的答案：A17.安全评估技术采用（程本地和网络安全程序。A．安全扫描器B．安全扫描仪C．自动扫描器D．自动扫描仪答案：A）这一工具，它是一种能够自动检测远18.小张在一个不知名的网站上下载了鲁大师并进行安装，电脑安全软件提示该软件有恶意，小张急出一身冷汗，因为他知道恶意代码将随之进入系统后会对他的系统信息安全造成很大的威胁，能检查恶意代码的转的实现方式不包括（）A.攻击者在获得系统的上传受限后，将恶意代码部署到目标系统B.恶意代码自身就是软件的一部分，随软件部署传播C.内嵌在软件中，当文件被执行时进入目标系统

D．恶意代码通过网上激活答案：D，恶意代码一般不需要激活。19.操作系统是作为一个支撑软件，使得你的程序或别的应用系统在上面正常运行的一个环境，操作系统提供了更好的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不而下的破绽，都给网络安全留下隐患。某公司的网络维护师为实现该公司操作系统的安全目标，按书中所学建立了相应的安全机制，这些机制不包括（）A.标识与鉴别B.访问控制C.权限管理D.网络云盘存取保护答案：D20.信息安全应急响应，是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防措施，也包括事件发生后的应对措施。应急响应方法和过程并不是唯一的，在下面的应急响应管理流程图中，空白方框处填写正确的选项是（）答案：复习应急响应的流程，准备、检测、遏制、根除、恢复、跟踪总结。21.传输线路是信息发送设备和接受设备之间的物理通信，针对传输答案：教程第341页8.1.3章节下的第一段话，记忆和理解。22.风险处理是依据（），选择和实施合适的安全措施，风险处理的目的是为了（）始终控制在可接受的范围内，风险处理的方式主要有（）、（）、（）、和（）四种方式

A．风险；风险评估的结果；降低；规避；转移；接受B．风险评估的结果；风险；降低；规避；转移；接受C.风险评估；风险；降低；规避；转移；接受D．风险；风险评估；降低；规避；转移；接受答案：B23.信息安全风险评估是针对事物潜在影响正常执行器职能的行为产生于优减有破坏的因素进行识别、评价的过程下列选项中不属于风险评估要素的是（）A.资产B.脆弱性C.威胁D.安全需求答案：D24.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是制访问控制产生了分歧。小李应该采用自主访问控制的方法，他的观点主要有：(1)自主访问控制方式，为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；（2）自主访问控制可以抵御木马程序的攻击，小刘认为应该采用强制访问控制的方法、他的观点主要有：（3）强制访问控制中，只有文件拥有者可以修改文件的安全属性，因此安全性较高；（4）强制访问控制能够保护敏感信息，以上四个观点中，有一个观点是正确的，它是（）A.观点（1）B观点（2）C.观点(3)D.观点（4）答案：D25.基于对（）的信任，当一个请求或命令来自一个“权威”人士时，这个请求就可能被不怀疑的（）。在（）中，攻击者伪装成“公安部门”人员，要求受害者转账到所谓“安全账户”就是利用了受害者对权威的信任。在（）中，攻击者可能伪装成监管部门、信息系统管理人员等身份，去要求受害者执行操作。例如伪装成系统管理员，告诉用户请求配合进行一次系统测试，要求（）等。A．权威；执行；电信诈骗；网络攻击；更改密码B．权威；执行；网络攻击；电信诈骗；更改密码C．执行；权威；电信诈骗；网络攻击；更改密码

D．执行；权威；网络攻击；电信诈骗；更改密码答案：A26.软件开发模型是指对软件开发安全部过程、活动和任务的结构框架，最早出现的软件开发模型是1970年提出的瀑布模型，常见模型的模型有演化模型、螺旋模型、喷泉模型、智能模型等。下列软件开发模型中，支持需求不明确，特别是大型软件系统的开发。并支持多软件开发的方法的模型是（）A.原型模型B.瀑布模型C.喷泉模型D.螺旋模型答案：D27.物理安全是一个非常关键的领域，包括环境安全、设施安全与传输安全。其中，信息系统的设施作为直接存储、处理数据的载体，其安全性对信息系统至关重要。下列选项中，对设施安全的保障措施的描述正确的是().A.安全区域不仅包含物理区域，还包含信息系统等软件区域B．建立安全区域需要建立安全屏蔽及访问控制机制C．由于传统门容易被破解，因此禁止采用门的方式进行边界防护D．闭路电视监控系统的前端设备包括摄像机、数字式控制录像设备，后端设备包括中央控制设备、监视器等答案：D28.对于信息安全风险评估，下列选项中正确的是（）。A．风险评估只需要实施一次就可以B．风险评估应该根据变化了的情况定期或不定期的适时地进行C．风险评估不需要形成文化评估结果报告D．风险评估仅对网络做定期的扫面就行答案：B29.下列选项中，与面向构件提供者的构件测试目标无关的是().A.检查为特定项目而创建的新构件的质量B．检查在特定平台和操作环境中构件的复用、打包、和部署C．尽可能多地揭示构件错误

D．验证构件的功能、借口、行为和性能答案：C30.下列关于测试方法的叙述不正确的是（）A．从某种角度上讲，白盒测试与黑盒测试都属于动态测试B.功能测试属于黑盒测试C.结构测试属于白盒测试D．对功能的测试通常是要考虑程序的内部结构的答案：D31.小王学习了灾难备份的有关知识，了解到常用的数据备份方式包括完全备份、增量备份、差量备份，为了巩固所学知识，小王对这三种备份方式进行对比，其中在数据恢复速度方面三种备份方式由快到慢的顺序是（）A．完全备份、增量备份、差量备份B.完全备份、差量本份、增量备份C．增量备份、差量备份、完全备份D．差量备份、增量备份、完全备份答案：B32.在极限测试过程中，贯穿始终的是()A.单元测试和集成测试B.单元测试和系统测试C.集成测试和验收测试D.集成测试和系统测试答案：C，标准知识点是单元测试和验收测试是其中的重要两个过程，C贴近。33.在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障模型>A．保障要素、生命周期和运行维护B．保障要求、生命周期和安全特征C．规划组织、生命周期和安全特征D．规划组织、生命周期和运行维护

答案：B，标准知识点是保障要素、生命周期和安全特征。34.以下哪些不是《国家网络安全空间战略》中产生的我国网络空间当前任务？A．捍卫网络空间主权B．保护关键信息基础设施C．提升网络空间防护能力D．阻断与国外网络连接答案：D35.在信息安全保障工作中，人才是非常重要的因素，近年来，我国一直高度重视我国信息安全人才队伍的培养和建设。在以下关于我国关于人才培养工作的描述中，错误的是（）A．在《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发{2003}27号）中，针对信息安全人才建设与培养工作提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神B．2015年，为加快网络空间安全高层次人才培养，经报国务院学位委员会批准，国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科，这对于我国网络信息安全人才成体系化、规模化、系统化培养起到积极的推动作用C．经过十余年的发展，我国信息安全人才培养已经成熟和体系化，每年培养的信息安全从业人员的数量较多，基本能通社会实际需求相匹配：同时，高校信息安全专业毕业人才的综合能力要求高、知识更全面，因而社会化培养应重点放在非安全专业人才培养上D.除正规大学教育外，我国信息安全非学历教育已基本形成了以各种认证为核心，辅以各种职业技能培训的信息安全人才培训体系，包括“注册信息安全专业人员（CISP）”资质认证和一些大型企业的信息安全资质认证答案：C36.王明买了一个新的蓝牙耳机，但王明听说使用蓝牙设备有一定的安全威胁，于是王明找到蓝牙技术有所了解的王红，希望王红能够给自己一点建议，以下哪一条建议不可取（）A．在选择使用蓝牙设备时，应考虑设备的技术实现及设置是否举办

防止上述安全威胁的能力B.选择使用功能合适的设备而不是功能尽可能多的设备、就尽量关闭不使用的服务及功能C．如果蓝牙设备丢失，最好不要做任何操作D．在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现答案：C37.某公司正在进行IT系统灾难恢复测试，下列问题中哪个最应该引起关注（）A.由于有限的测试时间窗，仅仅测试了最必须的系统，其他系统在今年的剩余时间里陆续单独测试B．在测试的过程中，有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败C．在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间D．每年都是由相同的员工执行测试，由于所有的参与都很熟悉每一个恢复步骤，因而没有使用灾难恢复计划(DRP)文档答案：是目前广泛应用的大数据处理分析平台。在Hadoop1.0.0版本之前，Hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的，值得信赖的。用户与服务器进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到Hadoop集群上，恶意的提交作业，纂改分布式存储的数据，伪装成NameNode或者TaskTracker接受任务等。在Hadoop2.0中引入了Kerberos机制来解决用户到服务器的认证问题，Kerberos的认证过程不包括（）A．获得票据许可票据B．获得服务许可票据C．获得密钥分配中心的管理权限D．获得服务答案：C39.下面哪个阶段不属于软件的开发时期（）

A．详细设计B.总体设计C.编码D.需求分析答案：D40.图为一个飞机票预定系统的数据流图，图中“旅客”是（）答案：题目不全，略。41.信息可以以多种形式存在。它可以打印写在纸上、以（）、用邮寄或电子手段传递、呈现在信息可以以多种形式存在。它可以打印写在纸上、以（）、用邮寄或电子手段传递、呈现在片上使用是（）。无论信息以什么形式存在，用哪种方法存储或共享，都宜对它进行适当的保护。（）是保护信息受各种威胁的损害，以确保业务（），业务风险最小化，投资回报和（）A.语言表达；电子方式存储；信息安全；连续性；商业机遇最大化B.电子方式存储；语言表达；连续性；信息安全；商业机遇最大化C.电子方式存储；连续性；语言表达；信息安全；商业机遇最大化D．电子方式存储；语言表达；信息安全；连续性；商业机遇最大化答案：D来源：出处于一个国际标准，“信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。信息安全是保护信息免受各种威胁的损害，以确保业务连续性，业务风险最小化，投资回报和商业机遇最大化。信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。”42.以下对Kerberos协议过程说法正确的是（）A．协议可分为两个步骤：一是用户身份鉴别；二十获取请求服务B.协议可分为两个步骤：一是获得票据许可票据；二十获取请求服务C．协议可分为三个步骤；一是用户身份鉴别；二十获得票据；三是获得服务许可票据

D．协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务答案：D43.传输线路是信息发送设备和接受设备之间的物理通路，针对传输线路的攻击是攻击者常用的方式，不同传输介质的具有不同的安全特性。同轴电缆、双绞线和光纤是广泛使用的有线传输介质。下列选项中，对有线传输介质的描述正确的是（）。A．同轴电缆显著的特征是频带较宽，其中高端的频带最大可达到100HzB．在双绞线外包裹一层金属屏蔽层，可解决抗干扰能力差的问题C.由于光在塑料保护套中传输损耗非常低，因此光纤可用于长距离的信息传递D．光纤通信传输具有高带宽、信号衰减小、无电磁干扰、不易被窃听、成本低廉等特点答案：教程342页，第3标题下。答案：B。A答案最大是10GHZ.44.组织应依照已确定的访问控制策略限制对信息和（）功能的访问。对访问的限制要基于各个业务应用要求。访问控制策略还要与组织的访问策略一致。应建立安全登录过程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认认证和（）时，宜使用如加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统，并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用，应加以限制并（）。对程序源代码和相关事项《例如设计、说明书、验证计划和确认计划》的访问宜严格控制，以防引非授权功能、避免无意识的变更和维持有价值的知识产权的（）。对于程序源代码的保存，可以通过这种代码的中央存储控制来实现，更好的是放在（）中。A．应用系统；身份验证；严格控制；保密性；源程序库B．身份验证；应用系统；严格控制；保密性；源程序C．应用系统；严格控制；身份验证；保密性；源程序库D．应用系统；保密性；身份验证；严格控制；源程序库答案：A

模型吧网络通信工作分为七层，如图所示，OSI模型的每一层只与相邻的上下两层直接通信，当发送进程需要发送信息时，它把数据交给应用层。应用层对数据进行加工处理后，传给表示层。再经过一次加工后，数据被送到会话层。这一过程一直继续到物理层接收数据后进行实际的传输，每一次的加工又称为数据封装。其中IP层对应OSI模型中的哪一层（）。A．会话层B.传输层C.应用层D.网络层答案：D46.安全审计是答案：教程260页最后一段中，描述的安全审计的概念。47.风险评估的过程包括（）、（）、和（）四个阶段。在信息安全风险管理过程中，风险评估答案：知识点是准备、要素识别、风险分析和结果判定四个阶段。48.软件工程方法.而其目的应该是解决软件的问题的是（）。A．B.C.生产工程化答案：过程安全。解答：参考什么是软件工程方法学的概念，软件工程是技术和管理紧密结合所形成的工程学科，通过计划、组织和控制等一系列的活动，合理地配置和使用各种资源，以达到既定目标的过程，软件工程方法学三要素（方法、过程、工具），软件工程方法学类型，传统方法学和面向对象的方法学。

本文标签： 答案风险系统进行测试