发布时间 : 星期一 文章CISP试题及答案-五套题更新完毕开始阅读115b4600b4daa58da0114aa2
1.人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是出于: A. 为了更好的完成组织机构的使命
B. 针对信息系统的攻击方式发生重大变化 C. 风险控制技术得到革命性的发展
D. 除了保密性,信息的完整性和可用性也引起了人们的关注
2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指: A. 对抗级 B. 防护级 C. 能力级 D. 监管级
3.下面对信息安全特征和范畴的说法错误的是:
A. 信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素
B. 信息安全是一个动态的问题,他随着信息技术的发展普及,以及产业基础,用户认识、投入产出而发展
C. 信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的
D. 信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点
4. 美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术系统分为:
A. 内网和外网两个部分
B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分
D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件,安全防护措施六个部分
5. 关于信息安全策略的说法中,下面说法正确的是: A. 信息安全策略的制定是以信息系统的规模为基础 B. 信息安全策略的制定是以信息系统的网络??? C. 信息安全策略是以信息系统风险管理为基础
D. 在信息系统尚未建设完成之前,无法确定信息安全策略
6. 下列对于信息安全保障深度防御模型的说法错误的是:
A. 信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
B. 信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。
C. 信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系无关紧要 D. 信息安全技术方案:“从外而内、自下而上、形成端到端的防护能力”
7.全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。“加快信息安全人才培训,增强全民信息安全意识”的指导精神,是以下哪一个国家政策文件提出的?
A. 《国家信息化领导小组关于加强信息安全保障工作的意见》 B. 《信息安全等级保护管理办法》
C.《中华人民共和国计算机信息系统安全保护条例》
D.《关于加强政府信息系统安全和保密管理工作的通知》
8. 一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案? A. 公安部公共信息网络安全监察局及其各地相应部门 B. 国家计算机网络与信息安全管理中心 C. 互联网安全协会 D. 信息安全产业商会
9. 下列哪个不是《商用密码管理条例》规定的内容:
A. 国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作 B. 商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理
C. 商用密码产品由国家密码管理机构许可的单位销售
D. 个人可以使用经国家密码管理机构认可之外的商用密码产品
10. 对涉密系统进行安全保密测评应当依据以下哪个标准?
A. BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B. BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C. GB17859-1999《计算机信息系统安全保护等级划分准则》 D. GB/T20271-2006《信息安全技术信息系统统用安全技术要求》
11. 下面对于CC的“保护轮廓”(PP)的说法最准确的是: A. 对系统防护强度的描述
B. 对评估对象系统进行规范化的描述
C. 对一类TOE的安全需求,进行与技术实现无关的描述
D. 由一系列保证组件构成的包,可以代表预先定义的保证尺度
12. 关于ISO/IEC21827:2002(SSE-CMM)描述不正确的是: A. SSE-CMM是关于信息安全建设工程实施方面的标准
B. SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程
C. SSE-CMM模型定义了一个安全工程应有的特征,这些特征是完善的安全工程的根本保证 D. SSE-CMM是用于对信息系统的安全等级进行评估的标准
13. 下面哪个不是ISO 27000系列包含的标准 A. 《信息安全管理体系要求》 B. 《信息安全风险管理》 C. 《信息安全度量》
D. 《信息安全评估规范》
14. 以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特征? A. ITSEC B. TCSEC
C. GB/T9387.2
D.彩虹系列的橙皮书
15. 下面哪项不是《信息安全等级保护管理办法》(公通字【2007】43号)规定的内容 A. 国家信息安全等级保护坚持自主定级、自主保护的原则
B. 国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查 C. 跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级
D. 第二级信息系统应当每年至少进行一次等级测评,第三级信息系统应当每???少进行一次等级测评
16. 触犯新刑法285条规定的非法侵入计算机系统罪可判处_____。 A. 三年以下有期徒刑或拘役 B. 1000元罚款
C. 三年以上五年以下有期徒刑 D. 10000元罚款
17. 常见密码系统包含的元素是:
A. 明文,密文,信道,加密算法,解密算法 B. 明文,摘要,信道,加密算法,解密算法 C. 明文,密文,密钥,加密算法,解密算法 D. 消息,密文,信道,加密算法,解密算法
18. 公钥密码算法和对称密码算法相比,在应用上的优势是: A. 密钥长度更长 B. 加密速度更快 C. 安全性更高
D. 密钥管理更方便
19. 以下哪一个密码学手段不需要共享密钥? A.消息认证 B.消息摘要 C.加密解密 D.数字签名
20. 下列哪种算法通常不被用户保证保密性? A. AES B. RC4 C. RSA
D. MD5
21.数字签名应具有的性质不包括: A. 能够验证签名者 B. 能够认证被签名消息
C. 能够保护被签名的数据机密性 D. 签名必须能够由第三方验证
22. 认证中心(CA)的核心职责是_____。 A. 签发和管理数字证书 B. 验证信息 C. 公布黑名单
D. 撤销用户的证书
23. 以下对于安全套接层(SSL)的说法正确的是:
A. 主要是使用对称密钥体制和X.509数字证书技术保护信息传输的机密性和完整性 B. 可以在网络层建立VPN
C. 主要使用于点对点之间的信息传输,常用Web server方式 D. 包含三个主要协议:AH,ESP,IKE
24. 下面对访问控制技术描述最准确的是: A. 保证系统资源的可靠性 B. 实现系统资源的可追查性 C. 防止对系统资源的非授权访问 D. 保证系统资源的可信性
25. 以下关于访问控制表和访问能力表的说法正确的是: A. 访问能力表表示每个客体可以被访问的主体及其权限 B. 访问控制表说明了每个主体可以访问的客体及权限 C. 访问控制表一般随主体一起保存
D. 访问能力表更容易实现访问权限的传递,但回收访问权限较困难
26. 下面哪一项访问控制模型使用安全标签(security labels)? A. 自主访问控制 B. 非自主访问控制 C. 强制访问控制
D. 基于角色的访问控制
27. 某个客户的网络限制可以正常访问internet互联网,共有200台终端PC但此客户从ISP(互联网络服务提供商)里只获得了16个公有的IPv4地址,最多也只有16台PC可以访问互联网,要想让全部200台终端PC访问internet互联网最好采取什么办法或技术: A. 花更多的钱向ISP申请更多的IP地址 B. 在网络的出口路由器上做源NAT C. 在网络的出口路由器上做目的NAT D. 在网络出口处增加一定数量的路由器