logo资料库

2018年最新注册信息安全专业人员CISP试卷.pdf

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.43M 资料格式:pdf 举报 版权申诉
第1页 / 共28页
第2页 / 共28页
第3页 / 共28页
第4页 / 共28页
第5页 / 共28页
第6页 / 共28页
第7页 / 共28页
第8页 / 共28页
资料共28页,剩余部分请下载后查看
    1、规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某 单位在实施风险评估时,形成了《特评估信息系统相关设备及资产清单》。在风险评 估实施的各个阶段中,该《特评估信息系统相关设备及资产清单》应是如下( ) 中的输出结果: A、风险评估准备 B、风险要素识别 C、风险分析 D、风险结果判定 2、关于秘钥管理,下列说法错误的是( ): A、科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于密钥的安全性 B、保密通信过程中,通信方使用之前用过的会话密钥建立会话,不影响通信安全 C、密钥在管理需要考虑密钥产生、存储、备份、分配、更新、撤销等生命周期过程 的每一个环节 D、在网络通信中,通信双方可利用 Diffie-hellman 协议协商会话密钥 3、某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全, 项目开发人员决定用户登录时除了用户名口令认证方式外,还加入基于数字证书的 身份认证功能,同时用户口令使用 SHA-1 算法加密后存放在后台数库中,请问以上 安全设计遵循的哪项安全设计原则( ): A、最小特权原则 B、职不经意分离原则 C、纵深防御原则 D、最少共享机制原则 4、2016 年 9 月,一位安全研究人员在 Google Cloud IP 上通过扫描,发现了完整 的美国路易斯安那州 290 万选民数据库。这套数据库中囊括了诸如完整姓名、电子 邮箱地址、性别与种族、选民状态、注册日期与编号、政党代码、电话号码以及最 后一次投票及投票历史等详细信息。安全研究员建议当地民众及时修改与个人信息 相关的用户名和密码,以防止攻击者利用以上信息进行( )攻击: A、默认口令 B、字典 C、暴力破解 D、XSS 5、下图是某单位对其主网站的一天访问流量监测图。如果说网站在当天 17:00 到 20:00 间受到了攻击,则从图中数据分析,这种攻击类型最可能属于下面什么攻击 ( ): 1
    A、跨站脚本(Cross Site Scripting,XSS)攻击 B、TCP 会话劫持(TC. Hi jack)攻击 C、IP 欺骗攻击 D、拒绝服务(Denial of Serice, DoS)攻击 6、小张在单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业 的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作 形式。小张认为:1、风险评估工作形式包括:自评估和检查评估;2、自评估是指 信息系统拥有、运营或使用单位发起的对本单位信息系统 进行风险评估;3、检查 评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;4、 对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个,非此即彼。 请问小张的所述论点中错误的是哪项( ): A、第一个观点 B、第二个观点 C、第三个观点 D、第四个观点 7、关于信息安全保障技术框架(Information Assurance Technical Framework, IATF)下面描述错误的是( ): A、IATF 最初由美国国家安全局(NSA)发布,后来由国际标准化组织(ISO)转化为 国际标准,供各个国家信息系统建设参考使用 B、IATF 是一个通用框架,可以用到多种应用场景中,通过对复杂信息系统进行解构 和描述,然后再以皮框架讨论信息系统的安全保护问题 C、IATF 提出了深度防御的战略思想,并提供一个框架进行多层保护,以此防范信息 系统面临的各种威胁 2
    D、加强人、技术和操作是深度防御的三个主要层面,也就是说讨论人在技术支持下 运行维护和信息安全保障问题 8、下列选项中,哪个不是我国信息安全保障工作的主要内容( ): A、加强信息安全标准化工作,积极采用“等同采用、修改采用、制定”等多种方式, 尽快建立和完善我国信息安全标准体系 B、建立国家信息安全研究中心,加快建立国家急需的信息安全技术体系,实现国家 信息安全自主可控目标 C、建设和完善信息安全基础设施,提供国家信息安全保障能力支撑 D、加快信息安全学科建设和信息安全人才培养 9、下面对国家秘密定级和范围的描述中,哪项不符合《保守国家秘密法》要求( ): A、国家秘密及其密级的具体范围,由国家保密工作部门分别会同外交、公安、国家 安全和其他有关机关规定 B、各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体 范围的规定确定密级 C、对是否属于国家秘密和属于何种不明确的事项,可由名单位自行参考国家要求确 定和定级,然后报国家保密工作部门确定 D、对是否属于国家秘密和属于何种密级不明确的事项,由国家保密工作部门,省、 自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较 大的保密工作部门或者国家保密工作部门审定的机关确定 10、在信息系统中,访问控制是重要的安全功能之一。它的任务是在用户对系统资 源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权 篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别 来限制其对客体的访问权限,下列选项中,对主体、客体和访问权限的描述中错误 的是( ): A、对文件进行操作的用户是一种主体 B、主体可以接收客体的信息和数据,也可能改变客体相关的信息 C、访问权限是指主体对客体所允许的操作 D、对目录的访问权限可分别为读、写和拒绝访问 3
    11、邮于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加 强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是( ): A、要求开发人员采用敏捷开发模型进行开发 B、要求所有的开发人员参加软件安全意识培训 C、要求规范软件编码,并制定公司的安全编码准则 D、要求增加软件安全测试环节,尽早发现软件安全问题 12、根据信息安全风险要素之间的关系,下图中空白处应该填写( ): 利用 增加 威 胁 ( ) 风 险 A、资产 B、安全事件 C、脆弱性 D、安全措施 13、以下关于法律的说法错误的是( )? A、法律是国家意志的统一体现,有严密的逻辑体系和效力 B、法律可以是公开的,也可以是“内部”的 C、一旦制定,就比较稳定,长期有效,不允许经常更改 D、法律对违法犯罪的后果有明确规定,是一种“硬约束” 14、二十世纪二十年代,德国发明家亚瑟·谢尔比乌斯(Arthur Scherbius)发明 了 Engmia 密码机,按照密码学发展历史阶段划分,这个阶段属于( ): A、古典密码阶段。这一阶段的密码专家常常靠直觉和技术来设计密码,而不是凭借 推理和证明,常用的密码运算方法包括替代方法和转换方法 B、近代密码发展阶段。这一阶段开始使用机械代替手工计算,形成了机械式密码设 备和更进一步的机电密码设备 C、现代密码学的早期发展阶段。这一阶段以香农的论文“保密系统的通信理论”(“The Communication Theory of Secret Sysyeas”)为理论基础,开始了对密码学的科学 探索 D、现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志,引发了密码学历 4
    史上的革命性的变革,同时,众多的密码算法开始应用于非机密单位和商业场合 15、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资 源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度 防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是 ( ): A、在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关 费用,确保安全经费得到落实 B、在软件安全设计时,邀请安全开发专家对软件架构设计进行评审,及时发现架构 设计中存在的安全不足 C、确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确 保开发人员编写出安全的代码 D、在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测 试,未经以上测试的软件不允许上线运行 16、小赵是某大学计算机科学与技术专业的毕业生,在前往一家大型企业应聘时, 面试经理要求他给出该企业信息系统访问控制模型的设计思路,如果想要为一个存 在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗 的角度,下列选项中他应该采取的最合适的模型或方法是( ): A、访问控制列表(ACL) B、能力表(CL) C、BLP 模型 D、Biba 模型 17、为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智 能卡+短信认证”模式进行网上转账等交易。在此场景中用到下列如些鉴别方法 ( )? A、实体“所知”以及实体“所有”的鉴别方法 B、实体“所有”以及实体“特征”的鉴别方法 C、实体“所知”以及实体“特征”的鉴别方法 D、实体“所有”以及实体“行为”的鉴别方法 18、在风险管理中,残余风险是指在实施了新的或增强的安全措施后还剩下的风险, 关于残余风险,下面描述错误的是( ): A、风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险 5
    的书面批准,这也是风险管理中的一个重要过程 B、管理层确认接受残余风险,是对风险评估工作的一种肯定,表示管理层已经全面 了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且必须承担引 发的后果 C、接受残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制 地提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术等因素的 限制 D、如果残余风险没有降低到可接受的级别,则只能被动地选择接受风险,即对风险 不采取进一步的处理措施,接受风险可能带来的结果 19、信息安全组织的管理涉及内部组织和外部两个控制目标,为了实现控制外部各 方的目标,应该包括下列( ): A、信息安全的管理承诺、信息安全协调、信息安全职责的分配 B、信息处理设计的授权过程、保密性协议、与政府部门的联系 C、与特定利益集团的联系、信息安全的独立评审 D、与外部各方相关风险的识别、处理外部各方协议中的安全问题 20、信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府 进行宏观管理的重要依据,同时也是保护国家利益、促进产业发展的重要手段之一。 关于我国信息安全标准化工作,下面选项中描述错误的是( ): A、我国是在国家质量监督检验疫总局管理下,由国家标准化管理委员会统一管理全 国标准化工作,下设有专业技术委员会 B、事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和 专家制订标准,切实有效地保护国家利益和安全 C、我国归口信息安全方面标准是“全国信息安全标准化技术委员会”,为加强有关 工作,2016 在其下设立“大数据安全特别工作组” D、信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作业突出体现 在能够确保有关产品、设施的技术先进性、可靠性和一致性 21、关于信息安全应急响应管理过程描述不正确的是( ): A、基于应急响应工作的特点和事件的不规则性,事先制定出事件应急响应方法和过 程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制, 6
    将损失和负面影响降至最低 B、应急响应方法和过程并不是唯一的 C、一种被广为接受的应急响应方法是将应急响应管理过程分别准备、检测、遏制、 根除、恢复和跟踪总结 6 个阶段 D、一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、 根除、恢复和跟踪总结 6 个阶段,这 6 个阶段的响应方法一定能确保事件处理的成 功 22、有关系统安全工程能力成熟模型(SSE-CMM)中通用实施(Generic Practices, GP),错误的理解是( ): A、GP 是涉及过程的管理、测量的制度化方面的活动 B、GP 适用于域维中部分过程区域(Base Practices, BP)的活动而非所有 PA 的活 动 C、在工程实施中,GP 应该作为基本实施(Base Practices,BP)的一部分加以执行 D、在评估时,GP 用于判定工程组织执行某个 PA 的能力 23、陈工学习了信息安全风险的有关知识,了解到信息安全风险的构成过程,图中 括号空白处应该填写( ): 威 胁 利用 ( ) 对 资 产 造成 影响 A、信息载体 B、措施 C、脆弱性 D、风险评估 24、以下关于灾难恢复和数据备份的理解,说法正确的是( ): A、增量备份是备份人上次完全备份后更新的全部数据文件 B、依据具备的灾难恢复资源程度的不同,灾难恢复能力分为 7 个等级 C、数据备份按数据类型划分为系统数据备份和用户数据备份 D、如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了 25、某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构 对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理 提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性 7
    测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优 势( )? A、参透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的 漏洞 B、渗透测试是用软件代替人工的一种测试方法,因此测试效率更高 C、渗透测试使用人工进行测试,不依赖软件,因此测试更准确 D、渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多 26、在 Linux 系统中,下列哪项内容不包含在/etc/passwd 文件中( ): A、用户名 B、用户口令明文 C、用户主目录 D、用户登录后使用的 SHELL 27、某网站管理员小邓在流量监测中发现近期网站的入站 ICMP 流量上升了 250%, 尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领 导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施( ): A、在防火墙上设置策略,阻止所有的 ICMP 流量进入(关掉 ping) B、删除服务器上的 ping.exe 程序 C、增加带宽以应对可能的拒绝服务攻击 D、增加网站服务器以应对即将来临的拒绝服务攻击 28、对信息安全事件的分级参与下列三个要素:信息系统的重要程度、系统损失和 社会影响。依据信息系统的重要程度对信息系统进行划分,不属于正确划分级别的 是( ): A、特别重要信息系统 B、重要信息系统 C、一般信息系统 D、关键信息系统 29、某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址,但是该 网络内有 15 台个人计算机,这些个人计算机不会同时开机并连接互联网。为解决公 司员工的上网问题,公司决定将这 10 个互联网地址集中起来使用,当任意一台个人 计算机开机并连接网络时,管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给这个人的计算机。他关机时,管理中心将该地为收回,并重新设置为未 分配。可见,只要同时打开的个人计算机数量少于或等于可供分配的 IP 地址,那么, 8
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料