首页 模拟题1

模拟题1

举报
开通vip

模拟题1 CISP 模拟题 1、 以下哪一项对安全风险的描述是准确的?C A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。 B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。 C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性 D、安全风险是指资产的脆弱性被威胁利用的情形。 2、以下哪些不属于脆弱性范畴?A A、黑客攻击 B、操作系统漏洞 C、应用程序 BUG D、人员的不良操作习惯 3、依据信息...

模拟题1
CISP 模拟题 1、 以下哪一项对安全风险的描述是准确的?C A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。 B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。 C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性 D、安全风险是指资产的脆弱性被威胁利用的情形。 2、以下哪些不属于脆弱性范畴?A A、黑客攻击 B、操作系统漏洞 C、应用程序 BUG D、人员的不良操作习惯 3、依据信息系统安全保障模型,以下那个不是安全保证对象?A A、机密性 B、管理 C、过程 D、人员 4、系统审计日志不包括以下哪一项?D A、时间戳 B、用户标识 C、对象标识 D、处理结果 5、TCP 三次握手协议的第一步是发送一个:A A、SYN 包 B、SCK 包 C、UDP 包 D、NULL 包 6、以下指标可用来决定在应用系统中采取何种控制 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 ,除了 B A、系统中数据的重要性 B、采用网络监控软件的可行性 C、如果某具体行动或过程没有被有效控制,由此产生的风险等级 D、每个控制技术的效率,复杂性和花费 8、用户如果有熟练的技术技能且对程序有详尽的了解,就能巧妙的避过安全性程序,对生产程序 做出更改。为防止这种可能,要增强:B A、工作处理 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 的复查 B、生产程序于被单独控制的副本之间的比较 C、周期性测试数据的运行 D、恰当的责任分割 9、程序安全对应用安全有很大的影响,因此安全编程的一个重要环节。用软件 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 的方法编制程 序是保证安全的根本。在程序设计阶段,推荐使用的方法有:A a 建立完整的与安全相关的程序文件 b 严格控制程序库 c 正确选用程序开发工具 d 制定适当的程序访问控制 10、Chinese Wall 模型的设计宗旨是:A A、用户只能访问那些与已经拥有的信息不冲突的信息 B、用户可以访问所有的信息 C、用户可以访问所有已经选择的信息 D、用户不可以访问那些没有选择的信息 11、对不同的身份鉴别方法所提供的按防止重用攻击从大到小:C A、仅用口令,口令及个人识别号(PIN),口令响应,一次性口令 B、口令及个人识别号(PIN),口令响应,一次性口令,仅由口令 C、口令响应,一次性口令,口令及个人识别号(PIN),仅有口令 D、口令响应,口令及个人识别号(PIN),一次性口令,仅有口令 12、下面那个协议在 TCP/IP 协议的低层起作用?B A、SSL B、SKIP C、S-HTTP D、S-PPC 13、 “保护轮廓”最早出现于哪一个 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ?B A 国际标准 ISO/IEC 15408; B 美国 FC 标准; C 可信计算机系统评估准则 TCSEC; D 信息技术安全性评估准则 ITSEC E 通用评估准则 CC2.0 14、UDP 端口扫描的依据是:A A、根据扫描对放开房端口返回的信息判断 B、根据扫描对方关闭端口返回的信息判断 C、综合考虑 A 和 B 的情况进行判断 D、既不根据 A 也不根据 B 15、企业内部互联网可以建立在企业内部网络上或是互联网上。以下哪一项控制机制是最不合适 于在互联网上建立一个安全企业内部互联网的?B A、用户信道加密 B、安装加密的路由器 C、安装加密的防火墙 D、在私有的网络服务器上实现密码控制机制 16、以下的危险情况哪一个不适与数字签名和随机数字有关的?D A、伪装 B、重复攻击 C、密码威胁 D、拒绝服务 17、安全标志和访问控制策略是由下面哪一个访问控制制度所支持的?D A、基于身份的制度 B、基于身份认证的制度 C、用户指导制度 D、强制访问控制制度 18、在 OSI 参考模型中有 7 个层次,提供了相应的安全服务来加强信息系统的安全性。以下那一 层没有提供机密性服务?D A 、表示层 B 、传输层 C 、网络层 D 、会话层 19、下面有关 IPSec 的描述中错误的是?A IETF 中的 IPSEC 标准夭折在用户和设备之间建立一个加密通道 VPN 设备常常不能符合 IPSEC 标准 IPSEC 属于网络层 AH 用来认证 21、“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分 为:C A、普密、商密两个级别 B、低级和高级两个级别 C、绝密、机密、秘密三个级别 D、一密、二密、三密、四密四个级别 22、除了对访问、处理、程序变更和其他功能进行控制外,为保障系统的安全需要仍需要建立信 息审计追踪。在一个用来记录非法的系统访问尝试的审计追踪日志中,一般不会包括下列哪项信 息?D A、授权用户列表 B、事件或交易尝试的类型 C、进行尝试的终端 D、被获取的数据 23、帧中继和 X.25 网络是以下哪个选项的一部分?C A、电路交换服务 B、单元交换服务 C、分组交换服务 D、专用数字服务 24、在分布式开放系统的环境中,以下哪个选项的数据库访问服务提供允许或禁止访问的能力? C A 、对话管理服务 B 、事务管理服务 C 、资源管理服务 D 、控制管理服务 25、为了阻止网络假冒,最好的方法是:C A、回拨技术 B、文件加密 C、回拨技术加上数据加密 D、拨号转移技术 26 以下哪一项不能适应特洛伊木马的攻击?B A、强制访问控制 B、自主访问控制 C、逻辑访问控制 D、访问控制表 27、桔皮书主要强调了信息的哪个属性?B A 完整性 B 机密性 C 可用性 D 有效性 28、以下哪一种人给公司带来最大的安全风险?D A 临时工 B 咨询人员 C.以前员工 D.当前员工 29、一个公司经常修正其生产过程。从而造成对处理程序可能会伴随一些改动。下列哪项功能可 以确保这些改动的影响处理过程,保证它们对系统的影响风险最小?B A.安全管理 B.变更控制 C.问题追踪 D.问题升级程序 30.应用软件测试的正确顺序是:D A、集成测试,单元测试,系统测试,交付测试 B.单元测试,系统测试,集成测试,交付测试 C.交付测试,单元测试,集成测试,系统测试 D.单元测试,集成测试,系统测试,交付测试 31、哪个 TCP/IP 指令会得出下面结果?A Interface:199.102.30.152 Internet Address Physical Address Type 199.102.30.152 Ao-ee-oo-5b-oe-ac dynamic A、 ARP B、 Netstat C、 Tracert D、 Nbtstat 32、哪个 TCP/IP 协议能够表明域里哪台是邮件服务器?D A、FTP B、nslookup C、tracert D、Telnet 33、SMTPl 连接服务器使用端口 B A、21 B、25 C. 23 D. 53 34、数据库管理系统 DBMS 主要由哪两大部分组成?C A、文件管理器和查询处理器 B、事务处理器和存储管理器 C、存储管理器和查询处理器 D、文件管理器和存储管理器 35.SQL 语言可以 在宿主语言中使用,也可以独立地交互式使用。B A. 寄宿 B. 嵌入 C. 混合 D. 并行 36.下列为对称加密算法的例子为 A A. Rijndael B. RSA C. Diffie-Hellman D. Knapsack 37.下面哪种不是 WINDOWS 2000 安装后默认有的共享?D A. C$ B. Ipc$ C. Admin$ D. Systemroot$ 38.在 WINDOWS 2000 系统中,用什么命令或工具可以看到系统上开放的端口和进程的对应关系? C A. NETSTAT B. NET USE C. FPORT D. URLSCAN 39.为尽量防止通过浏览网页感染恶意代码,下列做法中错误的是:D A. 不使用 IE 浏览器,而使用 Opera 之类的第三方浏览器。 B. 关闭 IE 浏览器的自动下载功能。 C. 禁用 IE 浏览器的活动脚本功能。 D. 先把网页保存到本地再浏览。 40.下列关于病毒和蠕虫的说法正确的是:B A. 红色代码(CodeRed)是病毒。 B. Nimda 是蠕虫。 C. CIH 病毒可以感染 WINDOWS 98 也可以感染 WINDOWS 2000. D. 世界上最早的病毒是小球病毒。 41、下面哪一个不属于基于 OSI 七层协议的安全体系结构的 5 种服务之一?C A.  数据完整性 B.  数据机密性 C.  公证 D.  抗抵赖 42、下列为非对称加密算法的例子为 D A. IDEA B. DES C. 3 DES D. ELLIPTOC CURVE 43.为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?D A. 人际关系技能 B. 项目管理技能 C. 技术技能 D. 沟通技能 44.保护轮廓(PP)是下面哪一方提出的安全要求?C A. 评估方 B. 开发方 C. 用户方 D. 制定标准方 45.在执行风险 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 的时候,预期年度损失(ALE)的计算是:C A. 全部损失乘以发生频率 B. 全部损失费用=实际替代费用 C. 单次预期损失乘以发生频率 D. 资产价值乘以发生频率 46.有三种基本的鉴别的方式:你知道什么,你有什么,以及:C A. 你需要什么 B. 你看到什么 C. 你是什么 D. 你做什么 47.以下哪个选项不是信息中心(IC)工作职能的一部分?A A. 准备最终用户的预算 B. 选择 PC 的硬件和软件 C. 保持所有 PC 的硬件和软件的清单 D. 提供被认可的硬件和软件的技术支持 48.CC 中的评估保证级 4 级(EAL4)对应 TCSEC 和 ITSEC 的哪个级别?C A.  对应 TCSEC B1 级,对应 ITSEC E4 级 B  . 对应 TCSEC C2 级,对应 ITSEC E4 级   C. 对应 TCSEC B1 级,对应 ITSEC E3 级 D.  对应 TCSEC C2 级,对应 ITSEC E3 级 49.在最近一次工资数据更新之后,一个未经授权的员工从公司的计算机中心得到了打印的公司 数据表,为保证只有经授权的员工才能得到敏感的打印数据,控制手段包括日志和:A A. 有控制地销毁作废的打印数据 B. 接收人的签名确认 C. 对磁盘上的打印输出文件进行访问控制 D. 敏感打印数据的强制过期日期 50.下面哪一个是国家推荐性标准?A A. GB/T 18020-1999 应用级防火墙安全技术要求 B. SJ/T 30003-93 电子计算机机房施工及验收规范 C. GA 243-2000 计算机病毒防治产品评级准则 D. ISO/IEC 15408-1999 信息技术安全性评估准则 51.为了确定自从上次合法的程序更新后程序是否被非法改变过,信息系统安全审核员可以采用 的审计技术是:A A. 代码比照 B. 代码检查 C. 测试运行日期 D. 分析检查 52.在 WINDOWS 2000 系统中,哪个进程是 IIS 服务的进程?A A. Inetinfo.exe B. Lsass.exe C. Mstask.exe D. Internat.exe 53. 下面哪一个用于电子邮件的鉴别和机密性? C A. 数字签名 B. IPSEC AH C. PGP D. MD4 54.在某个攻击中,入侵者通过由系统用户或系统管理员主动泄漏的可以访问系统资源的信息, 获得系统访问权限的行为被称作:A A. 社会工程 B. 非法窃取 C. 电子欺骗 D. 电子窃听 55.测试数据库应用程序主要应对的风险是 D A 非授权用户执行“ROLLBACK”命令; B 非授权用户执行“COMMIT”命令; C 非授权用户执行“ROLLFORWARD”命令; D 非授权用户修改数据库中的行 56.CC 的一般模型基于:A A. 风险管理模型 B. Bell lapadula 模型 C. PDCA 模型 D. PDR 模型 57.ITSEC 中的 E1-E5 对应 TCSEC 中哪几个级别?A C A. D 到 B2 B. C2 到 B3 C. C1 到 B3 D. C2 到 A1 58.事件响应方法学定义了安全事件处理的流程,这个流程的顺序是:C A. 准备-抑制-检测-根除-恢复-跟进 B. 准备-检测-抑制-恢复-根除-跟进 C. 准备-检测-抑制-根除-恢复-跟进 D. 准备-抑制-根除-检测-恢复-跟进 59.PDR 模型中,下面哪个措施不属于防护(P)措施:C A. 物理门禁 B. 防火墙 C. 入侵检测 D. 加密 60.CC 中的评估保证级(EAL)4 级涵义是:C A. 结构测试级 B. 方法测试和校验级 C. 系统的设计、测试和评审级 D. 半形式化设计和测试级 61.以下哪一项是已经被确认了的具有一定合理性的风险?C A. 总风险 B. 最小化风险 C. 可接受风险 D. 残余风险 62.从风险的观点来看,一个具有任务紧急性,核心功能的计算机应用程序系统的开发和维护项 目应该: 63.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与 安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正 是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是: D A 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估、认证一系 列环节。 B 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测 试的产品不再公告之列。 C 对信息安全产品的测评认证制度是我国按照 WTO 规则建立的技术壁垒的管理体制。 D 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。 64.下列哪一项是磁介质上信息擦除的最彻底形式?D A 格式化 B 消磁 C 删除 D 破坏 65.如果你刚收到一封你同事转发过来的电子邮件,警告你出现了一个可怕的新病毒,你会先 做下面哪件事情?D A 将这个消息传给你认识的每个人。 B 用一个可信赖的信息源验证这个消息。 C 将你的计算机从网络上连接 D 升级你的病毒库 66.当备份一个应用程序系统的数据时,以下哪一项是应该首先考虑的关键性问题?D A 什么时候进行备份? B 在哪里进行备份。 C 怎样存储备份? D 需要备份哪些数据? 67.职责分离是信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。 职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能 进行破坏。当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背?D A 数据安全管理员 B 数据安全分析员 C 系统审核员 D 系统程序员 68.关系型数据库技术的特征由以下哪些元素确定的?A A 行和列 B 节点和分支 C Blocks 和 Arrows; D 父类和子类 69.与 RSA(Rivest,Shamir,Adleman)算法相比,DSS(Digital Signature Standard)不包括: C A 数字签名 B 鉴别机制 C 加密机制 D 数据完整性 70.以下哪一种模型用来对分级信息的保密性提供保护?B A Biba 模型和 Bell-LaPadula 模型 B Bell-LaPadula 模型和信息流模型 C Bell-LaPadula 模型和 Clark-wilson 模型 D Clark-wilson 模型和信息流模型 71.责任机制对于实现安全性策略是很重要的,从系统用户来说,下列哪一个在严格的责任机制 中的作用最小?B A 审计要求 B 密码 C 身份签别控制 D 授权控制 72.下面哪一项不是一个公开密钥基础设施(PKI)的正常的部件?B A 数字签名 B 对称加密密钥 C CA 中心 D 密钥管理协议 73.以下有关单方向 HASH 函数和加密算法的叙述中,正确的是:A A 它们都将一个明文转化为非智能的密文 B 它们都是可逆的 C 它们都不会破坏信息 D 它们都使用密钥 74.下述攻击手段中不属于 DOS 攻击的是:D A Smurf 攻击 B Land 攻击 C Syn flood D Sniffer 76.一般由系统所有者上级单位或主管信息安全的机构授权信息系统投入运行的最后一步叫做:D A. 正式发布 B. 认证 C. 验证 D. 认可 77.依据信息系统安全保障模型,划分安全保障等级要考虑的因素不包括下面哪一方面:D A. 系统信息的密级 B. 系统的价值 C. 系统要对抗的威胁 D. 系统的技术构成 78.在 Biba 模型中,完整性威胁来源于子系统的:B A. 内部 B. 外部 C. 内部或外部 D. 既非内部也非外部 79.通常使用——来实现抗抵赖 C A. 加密 B. 时间戳 C. 签名 D. 数字指纹 80.关于 RA 的功能下列说法正确的是——B A. 验证申请者的身份 B. 提供目录服务,可以查寻用户证书的相关信息 C. 证书更新 D. 证书发放 81.从分析方法上入侵检测分为哪两种类型 B A. 异常检测、网络检测 B. 误用检测、异常检测 C. 主机检测、网络检测 D. 网络检测、误用检测 82.在数据库向因特网开放前,哪个步骤是可以忽略的?B A 安全安装和配置操作系统和数据库系统; B 应用系统已经在内网试运行 3 个月; C 对应用软件,如 WEB 页面、ASP 脚本等进行安全性检查; D 网络安全策略已经生效 83.一个可以对任意长度的报文进行加密和解密的加密算法称为:D A. 链路加密 B. 批量加密 C. 端对端加密 D. 流加密 84.你所属的机构为了保护一些重要的信息需要一个系统范围内的访问控制软件,在对这类软件 产品的评价过程中,哪一条是最重要的原则?D A. 需要保护什么样的信息 B. 信息是如何被保护的 C. 为保护信息预计投入多少 D. 如果信息不能被保护将造成的损失 85.下列选项中的哪一个可以用来减少一个虚拟专用网(VPN)由于使用加密而导致的系统性能 的降低?B A. 数字证书 B. 隧道化 C. 远程访问软件 D. 数字签名 86.系统的安全策略和审查记录使得机构管理者能够确保用户对其自身的行为负责。为了使用系 统记录,是安全策略发挥作用,下面哪一项是首要必需的?C A. 物理访问控制 B. 环境控制 C. 管理控制 D. 逻辑访问控制 87.下面哪一个短语能用来描述包含在一个应用程序中一系列指令中的恶意代码,例如一个字处 理程序或表格制作软件?B A. 主引导区病毒 B. 宏病毒 C. 木马 D. 脚本病毒 88.在实际应用中,下面哪种加密形式既安全又方便?B A 选择性记录加密; B 选择性字段加密; C 数据表加密; D 系统表加密 90.以下哪一项不是防火墙系统的主要组成部分:D A. 过滤协议 B. 应用网关 C. 扩展日志功能 D. 数据包交换 91.对于数据分类和对应用程序按照敏感性进行分类,以下哪一项说法是正确的?C A. 数据分类和应用程序分类是相同的 B. 在数据分类和应用程序分类中有清晰的划分观点 C. 对不同的机构,数据分类和应用程序分类是不同的 D. 使用简单数据分类和应用程序分类比较容易 92.机构应该把信息系统安全看作:C A. 业务中心 B. 风险中心 C. 业务促进因素 D. 业务抑制因素 93.谁应该承担决定信息系统资源所需的保护级别的主要责任?B A. 信息系统安全专家 B. 业务主管 C. 安全主管 D. 系统审查员 94.对在一个机构中的信息系统安全部门来说,一个重要且关键的工作特点是:B A. 组织化的回报机制 B. 落实信息系统安全责任制 C. 对信息系统安全提供技术协助 D. 来自其它部门的支持 95.下面哪一种风险对电子商务系统来说是特殊不常见的? D A. 服务中断 B. 应用程序系统欺骗 C. 未授权的信息漏洞 D. 确认信息发送错误 96.一般的防火墙不能实现以下哪些功能?B A 隔离公司网络和不可信网络; B 防止病毒和特络依木马程序; C 隔离内网; D 提供对单点的监控 97、令牌(Tokens),智能卡及生物检测设备用于识别和鉴别,依据是以下哪个原则?B A.多方鉴别原则 B.双因素原则 C.强制性鉴别原则 D.自主性鉴别原则 98、下面哪个是私有(private)IP 地址?A A、172.23.0.1 B、172.33.0.1 C、193.0.4.7 D、226.135.0.1 99、下面哪种通信协议可以利用 IPSEC 的安全功能?D Ⅰ.TCP Ⅱ.UDP Ⅲ.FTP A、 只有Ⅰ B、 Ⅰ和Ⅱ C、 Ⅱ和Ⅲ D、 Ⅰ Ⅱ Ⅲ 100、下面对跟踪审计功能的描述哪项是正确的?D A、审计跟踪不需要周期性复查。 B、实时审计可以在问题发生时进行阻止。 C、对一次事件的审计跟踪记录只需包括事件类型和发生时间。 D、审计是记录用户使用计算机网络系统进行的所有活动过程,它是提高安全的重要工具。
本文档为【模拟题1】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_111698
暂无简介~
格式:pdf
大小:180KB
软件:PDF阅读器
页数:17
分类:互联网
上传时间:2010-05-26
浏览量:45