1、下列对于信息安全保障深度防御模型的说法错误的是:
A、信息安全外部环境、信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下
B、信息安全管理和工程,信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统
C、信息安全人才体系,在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分
D、信息安全技术方案:“从外面内,自下而上,形成边界到端的防护能力”
2、人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:
A、为了更好地完成组织机构的使命
B、针对信息系统的攻击方式发生重大变化
C、风险控制技术得到革命性的发展
D、除了保密性,信息的完整性和可用性也引起了人们的关注
3、关于信息保障技术框架(IATF),下列哪种说法是错误的?
A、IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障
B、IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作
C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全
D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全
4、信息系统保护轮廓(ISPP)定义了___________
A、某种类型信息系统的与实现无关的一组系统级安全保障要求
B、某种类型信息系统的与实现相关的一组系统级安全保障要求
C、某种类型信息系统的与实现无关的一组系统级安全保障目的
D、某种类型信息系统的与实现相关的一组系统级安全保障目的
5、下面对于信息安全特征和范畴的说法错误的是:
A、信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术问题,还要考虑人员、管理、政策等众多因素
B、信息安全是一个动态的问题,它随着信息技术的发展普及,以及产业基础、用户认识、投入产出而发展
C、信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的
D、信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点
6、椭圆曲线密码方案是指:
A、基于椭圆曲线上的大整数分解问题构建的密码方案
B、通过椭圆曲线方程求解的困难性构建的密码方案
C、基于椭圆曲线上有限域离散对数问题构建的密码方案
D、通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案
7、hash算法的碰撞是指:
A、两个不同的消息,得到相同的消息摘要
B、两个相同的消息,得到不同的消息摘要
C、消息摘要和消息的长度相同
D、消息摘要比消息长度更长
8、Alice从Sue那里收到一个发给她的密文,其他人无法解密这个密文,Alice需要用哪个密钥来解密这个密文?
A、Alice的公钥
B、Alice的私钥
C、Sue的公钥
D、Sue的私钥
9、数字签名应具有的性质不包括:
A、能够验证签名者
B、能够认证被签名消息
C、能够保护被签名的数据机密性
D、签名必须能够由第三方验证
10、Alice有一个消息M通过密钥K和MAC算法生成一个MAC为C(K,M),Alice将这个MAC附加在消息M后面发送给Bob,Bob用密钥K和消息M计算MAC并进行比较,这个过程可以提供什么安全服务?
A、仅提供保密性
B、仅提供不可否认性
C、提供消息认证
D、保密性和消息认证
11、时间戳的引入主要是为了防止:
A、死锁
B、丢失
C、重放
D、拥塞
12、与RSA(rivest,shamir,adleman)算法相比,DSS(digital signature standard)不包括:
A、数字签名
B、鉴别机制
C、加密机制
D、数据完整性
13、在数字信封中,综合使用对称加密算法和公钥加密算法的主要原因是:
A、混合使用两种加密方法可以增加破译者的难度,使其更加难以破译原文,从而保障信息的保密性
B、综合考虑对称密钥算法的密钥分发难题和公钥算法加解密效率较低的难题而采取的一种折中做法
C、两种加密算法的混用,可以提高加密的质量,这是我国密码政策所规定的要求
D、数字信封综合采用这两种算法为的是为了防止收到信息的一方否认他收到了该信息,即抗接受方抵赖
14、下列哪个选项是公钥基础设施(PKI)的密钥交换处理流程?
(1)接收者解密并获取会话密钥
(2)发送者请求接收者的公钥
(3)公钥从公钥目录中被发送出去
(4)发送者发送一个由接收者的公钥加密过的会话密钥
A、4,3,2,1
B、2,1,3,4
C、2,3,4,1
D、2,4,3,1
15、IPSEC密钥协商方式有:
A、一种,手工方式
B、二种,手工方式、IKE自动协商
C、一种,IKE自动协商
D、二种,IKE自动协商、隧道协商
16、以下哪一项不是工作在网络第二层的隧道协议:
A、VTP
B、L2F
C、PPTP
D、L2TP
17、与PDR模型相比,P2DR模型多了哪一个环节?
A、防护
B、检测
C、反应
D、策略
18、以下有关访问控制矩阵中行和列中元素的描述正确的是:
A、行中放用户名,列中放对象名
B、行中放程序名,列中放用户名
C、列中放用户名,行中放设备名
D、列中放标题,行中放程序
19、下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互?
A、强制访问控制(MAC)
B、集中式访问控制(Decentralized Access Control)
C、分布式访问控制(Distributed AccessControl)
D、自主访问控制(DAC)
20、以下哪一项不是BLP模型的主要任务:
A、定义使得系统获得“安全”的状态集合
B、检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态”
C、检查系统的初始状态是否为“安全状态”
D、选择系统的终止状态
21、访问控制表与访问能力表相比,具有以下那个特点:
A、访问控制表更容易实现访问权限的特点
B、访问能力表更容易浏览访问权限
C、访问控制表回收访问权限更困难
D、访问控制表更适用于集中式系统
22、在Clark-Wilson模型中哪一项不是保证完整性任务的?
A、防止职权的滥用
B、防止非授权修改
C、维护内部和外部的一致性
D、防止授权但不适当地修改
23、以下对单点登录技术描述不正确的是:
A、单点登录技术实质是安全凭证在多个用户之间的传递或共享
B、使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用
C、单点登录不仅方便用户使用,而且也便于管理
D、使用单点登录技术能简化应用系统的开发
24、鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:
A、口令
B、令牌
C、知识
D、密码
25、系统审计日志不包括以下哪一项:
A、时间戳
B、用户标识
C、对象标识
D、处理结果
26、以下哪一项不是审计措施的安全目标:
A、发现试图绕过系统安全机制的访问
B、记录雇员的工作效率
C、记录对访问客体采用的访问方式
D、发现越权的访问行为
27、一个VLAN可以看做是一个:
A、冲突域
B、广播域
C、管理域
D、阻塞域
28、以下对RADIUS协议说法正确的是:
A、它是一种B/S结构的协议
B、它是一项通用的认证计费协议
C、它使用TCP通信
D、它的基本组件包括认证、授权和加密
29、UDP协议和TCP协议对应于ISO/OSI模型的哪一层?
A、链路层
B、传输层
C、会话层
D、表示层
30、路由器的扩展访问控制列表能够检查流量的那些基本信息?
A、协议,vtan id,源地址,目标地址
B、协议,vian id,源端口,目标端口
C、源地址,目地地址,源端口,目标端口,协议
D、源地址,目地地址,源端口,目标端口,交换机端口号
31、TCP/IP中哪个协议是用来报告错误并代表IP对消息进行控制?
A、ICMP
B、IGMP
C、ARP
D、SNMP
32、TCP采用第三次握手来建立一个连接,第二次握手传输什么信息:
A、SYN
B、SYN+ACK
C、ACK
D、FIN
33、某个客户的网络现在可以正常访问Internet互联网,共有200台终端PC但此客户从ISP(互联网络服务提供商)里只获得了16个公有的IPv4地址,最多也只有16台PC可以访问互联网,要想让全部200台终端PC访问Internet 互联网最好采取什么方法或技术:
A、花更多的钱向ISP申请更多的IP地址
B、在网络的出口路由器上做源NAT
C、在网络的出口路由器上做目的NAT
D、在网络出口处增加一定数量的路由器
34、以下哪个一个项对“ARP”的解释是正确的:
A、Accsee routing protocol----访问路由协议
B、Accsee routing protocol----访问解析协议
C、Address resolution protocol-地址解析协议
D、Address recovery protocol-地址恢复协议
35、下面对于X。25协议的说法错误的是?
A、传输速率可达到56Kbps
B、其优点是反复的错误校验颇为费时
C、其缺点是反复的错误校验颇为费时
D、由于它与TCP/IP协议相比处于劣势,所以渐渐被后者淘汰
36、下列对于DMZ区的说法错误的是:
A、它是网络安全防护的一个“非军事区”
B、它是对“深度防御”概念的一种实现方案
C、它是一种比较常用的网络安全域划分方式
D、要想搭建它至少需要两台防火墙
37、哪一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问连续的能力?
A、包过滤防火墙
B、状态监测防火墙
C、应用网关防火墙
D、以上都不是
38、以下哪一项不属于入侵检测系统的功能
A、监视网络上的通信数据流
B、捕捉可疑的网络活动
C、提供安全审计报告
D、过滤非法的数据包
39、下面哪一项不是通过IDS模型的组成部分:
A、传感器
B、过滤器
C、分析器
D、管理器
40、下面哪一项是对IDS的正确描述?
A、基于特征(Signature-based)的系统可以检测新的攻击类型
B、基于特征(Signature-based)的系统化基于行为(behavior-based)的系统产生更多的误报
C、基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配
D、基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报
41、可信计算技术不能:
A、确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击
B、确保密钥操作和存储的安全
C、确保硬件环境配置、操作系统内核、服务及应用程序的完整性
D、使计算机具有更高的稳定性
42、Chmod 744 test命令执行的结果是:
A、test文件的所有者具有执行读写权限,文件所属的组合其它用户有读的权限
B、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读的权限
C、test文件的所有者具有执行读和执行权限,文件所属的组和其它用户有读的权限
D、test文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读和写的权限
43、Linux系统的用户信息保存在passwd中,某用户条目backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的是:
A、backup账号没有设置登录密码
B、backup账号的默认主目录是/var/backups
C、backup账号登陆后使用的shell是/bin/sh
D、backup账号是无法进行登录
44、以下对windows账号的描述,正确的是:
A、windows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限
B、windows系统是采用用户名来标识用户对文件或文件夹的权限
C、windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除
D、windows系统默认生成administration和guest两个账号,两个账号都可以改名和删除
45、以下哪一项不是IIS服务器支持的访问控制过滤类型?
A、网络地址访问控制
B、web服务器许可
C、NTFS许可
D、异常行为过滤
46、以下哪个对windows系统日志的描述是错误的?
A、windows系统默认有三个日志,系统日志,应用程序日志,安全日志
B、系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障
C、应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息
D、安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等
47、为了实现数据库的完整性控制,数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据,完整性规则主要由三部分组成,以下哪一项不是完整性规则的内容?
A、完整性约束条件
B、完整性检查机制
C、完整性修复机制
D、违约处理机制
48、数据库事务日志的用途是什么?
A、事务日志
B、数据恢复
C、完整性约束
D、保密性控制
49、以下哪一项不是SQL语言的功能
A、数据定义
B、数据检查
C、数据操纵
D、数据加密
50、以下哪一项是和电子邮件系统无关的?
A、PEM
B、PGP
C、、X.500
D、X.400
51、下面对于cookie的说法错误的是:
A、cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息
B、cookie可以存储一些敏感的用户信息,从而造成一定的安全风险
C、通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗
D、防范cookie欺骗的一个有效方法是不使用cookie验证方法,而是用session验证方法
52、电子商务安全要求的四个方面是:
A、传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖
B、存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证
C、传输的安全性、数据的完整性、交易各方的身份认证和交易不可抵赖性
D、存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性
53、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:
A、httpd.conf
B、srm.conf
C、access.conf
D、inetd.conf
54、以下哪个是恶意代码采用的隐藏技术
A、文件隐藏
B、进程隐藏
C、网络连接隐藏
D、以上都是
55、下列那种技术不是恶意代码的生存技术?
A、反跟踪技术
B、加密技术
C、模糊变换技术
D、自动解压缩技术
56、以下对于蠕虫病毒的说法错误的是:
A、通常蠕虫的传播无需用户的操作
B、蠕虫病毒的主要危害体现在对数据保密性的破坏
C、蠕虫的工作原理与病毒相似,除了没有感染文件阶段
D、是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序
57、被以下哪种病毒感染后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响的,DNS和IIS服务遭到非法拒绝等。
A、高波变种3T
B、冲击波
C、震荡波
D、尼姆达病毒
58、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时,就会产生哪种类型的漏洞?
A、缓冲区溢出
B、设计错误
C、信息泄露
D、代码注入
59、下面对漏洞出现在软件开发的各个阶段的说法中错误的是?
A、漏洞可以在设计阶段产生
B、漏洞可以在实现过程中产生
C、漏洞可以在运行过程中产生
D、漏洞可以在验收过程中产生
60、DNS欺骗是发生在TCP/IP协议中______层的问题
A、网络接口层
B、互联网网络层
C、传输层
D、应用层
61、IP欺骗(IP Spoof)是发生在TCP/IP协议中______层的问题
A、网络接口层
B、互联网网络层
C、传输层
D、应用层
62、分片攻击问题发生在:
A、数据包被发送时
B、数据包在传输过程中
C、数据包被接收时
D、数据包中的数据进行重组时
63、下面关于软件测试的说法错误的是:
A、所谓“黑盒”测试就是测试过程不测试报告中进行描述,且对外严格保密
B、出于安全考虑,在测试过程中尽量不要使用真实的生产数据
C、测试方案和测试结果应当成为软件开发项目文档的主要部分被妥善的保存
D、软件测试不仅应关注需要的功能是否可以被实现,还要注意是否有不需要的功能被实现了
64、传统软件开发方法无法有效解决软件安全缺陷问题的原因是:
A、传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护五个阶段
B、传统的软件开发方法,注重软件功能实现和保证,缺乏对安全问题进行处理的任务、里程碑与方法论,也缺乏定义对安全问题的控制与检查环节
C、传统的软件开发方法,将软件安全定义为编码安全,力图通过规范编码解决安全问题,缺乏全面性
D、传统的软件开发方法仅从流程上规范软件开发过程,缺乏对人员的培训要求,开发人员是软件安全缺陷产生的根源
65、对攻击面(Attack surface)的正确定义是:
A、一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低
B、对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大
C、一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大
D、一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大
66、下面对PDCA模型的解释不正确的是:
A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动
B、是一种可以应用于信息安全管理活动持续改进的有效实践方法
C、也被称为“戴明环”
D、适用于对组织整体活动的优化,不适合单个的过程以及个人
67、下面关于ISO27002的说法错误的是:
A、A、ISO27002的前身是ISO17799-1
B、ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部
C、ISO27002对于每个控制措施的表述分“控制措施”,“实施指南”和“其他信息”三个部分来进行描述
D、ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施
68、下述选项中对于“风险管理”的描述不正确的是:
A、风险管理员是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通
B、风险管理的目的是了解风险并采取措施处置风险并将风险消除
C、风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中
D、在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。
69、在信息安全领域,风险的四要素是指?
A、资产及其价值、威胁、脆弱性、现有的和计划的控制措施
B、资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施
C、完整性、可用性、机密性、不可抵赖性
D、减低风险、转嫁风险、规避风险、接受风险
70、在信息安全风险管理体系中分哪五个层面?
A、决策层、管理层、执行层、支持层、用户层
B、决策层、管理层、建设层、维护层、用户层
C、管理层、建设层、运行层、支持层、用户层
D、决策层、管理层、执行层、监控层、用户层
71、在风险管理工作中“监控审查”的目的,一是_________;二是_________.
A、保证风险管理过程的有效性,保证风险管理成本的有效性
B、保证风险管理结果的有效性,保证风险管理成本的有效性
C、保证风险管理过程的有效性,保证风险管理活动的决定得到认可
D、保证风险管理结果的有效性,保证风险管理活动的决定得到认可
72、下列安全控制措施的分类中,哪个分类是正确的(p-预防性的,D-检测性的以及C-纠正性的控制)
1、网络防火墙
2、编辑和确认程序
3、账户应付支出报告
4、账户应付对账
5、RAID级别3
6、银行账单的监督复审
7、分配计算机用户标识
8、交易日志
A、P,P,D,P,P,C,D,andC
B、D,P,P,P,C,C,D, andD
C、P,P,D,D,C,D,P, andC
D、P,D,C,C,D,P,P, andD
1、以下对信息安全描述不正确得就是 A、信息安全得基本要素包括保密性、完整性与可用性 B、信息安全就就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成得影响减到最小,确保组织业务运行得连续性 C、信息安全就就是不出安全事故/事件 D、信息安全不仅仅只考虑防止信息泄密就可以了 【答案】C 2、以下对信息安全管理得描述错误得就是 A、保密性、完整性、可用性 B、抗抵赖性、可追溯性 C、真实性私密性可靠性 D、增值性 【答案】D 3、以下对信息安全管理得描述错误得就是 A、信息安全管理得核心就就是风险管理 B、人们常说,三分技术,七分管理,可见管理对信息安全得重要性 C、安全技术就是信息安全得构筑材料,安全管理就是真正得粘合剂与催化剂 D、信息安全管理工作得重点就是信息系统,而不就是人 【答案】D 4、企业按照ISO27001标准建立信息安全管理体系得过程中,对关键成功因素得描述不正确得就是 A、不需要全体员工得参入,只要IT部门得人员参入即可 B、来自高级管理层得明确得支持与承诺 C、对企业员工提供必要得安全意识与技能得培训与教育 D、所有管理者、员工及其她伙伴方理解企业信息安全策略、指南与标准,并遵照执行 【答案】A 5、信息安全管理体系(ISMS)就是一个怎样得体系,以下描述不正确得就是 A、ISMS就是一个遵循PDCA模式得动态发展得体系 B、ISMS就是一个文件化、系统化得体系 C、ISMS采取得各项风险控制措施应该根据风险评估等途径得出得需求而定 D、ISMS应该就是一步到位得,应该解决所有得信息安全问题 【答案】D 6、PDCA特征得描述不正确得就是 A、顺序进行,周而复始,发现问题,分析问题,然后就是解决问题 B、大环套小环,安全目标得达成都就是分解成多个小目标,一层层地解决问题 C、阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足 D、信息安全风险管理得思路不符合PDCA得问题解决思路 【答案】D 7、以下哪个不就是信息安全项目得需求来源
1 信息安全发展各阶段中,下面哪一项是信息安全所面临的主要威胁 A病毒 B非法访问 C信息泄漏 D---口令 2.关于信息保障技术框架IATF,下列说法错误的是 A IATF强调深度防御,关注本地计算环境,区域边境,网络和基础设施,支撑性基础设施等多个领域的安全保障 B IATF强调深度防御,针对信息系统采取多重防护,实现组织的业务安全运作。 C IATF强调从技术,管理和人等多个角度来保障信息系统的安全 D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全 3.美国国家安全局的《信息保障技术框架》IATF,在描述信息系统的安全需求时将信息系统分为 A 内网和外网两个部分 B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分 C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分 D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别 4.下面那一项表示了信息不被非法篡改的属性 A 可生存性 B 完整性 C 准确性 D 参考完整性 5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是 A 信息系统安全保障不仅涉及安全技术,还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全 B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心 C 是一种通过客观保证向信息系统评估者提供主观信心的活动 D 6、一下那些不属于现代密码学研究 A Enigma密码机的分析频率 B -- C diffie-herrman密码交换 D 查分分析和线性分析 7.常见密码系统包含的元素是: A. 明文、密文、信道、加密算法、解密算法 B. 明文,摘要,信道,加密算法,解密算法 C. 明文、密文、密钥、加密算法、解密算法 D. 消息、密文、信道、加密算法、解密算法 8.公钥密码的应用不包括: A. 数字签名 B. 非安全信道的密钥交换
1.下面关于信息安全保障的说法错误的是: A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性,可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施各种保障要素,在系统的生命周期内确保信息的安全属性。 以下哪一项是数据完整性得到保护的例子? A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作 B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作 C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看 注重安全管理体系建设,人员意识的培训和教育,是信息安全发展哪一个阶段的特点? A.通信安全 B.计算机安全 C.信息安全 D.信息安全保障 以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一? A.提高信息技术产品的国产化率 B.保证信息安全资金注入 C.加快信息安全人才培养 D.重视信息安全应急处理工作 以下关于置换密码的说法正确的是: A.明文根据密钥被不同的密文字母代替 B.明文字母不变,仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或
D.明文根据密钥作了移位 以下关于代替密码的说法正确的是: A.明文根据密钥被不同的密文字母代替 B.明文字母不变,仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或 D.明文根据密钥作了移位 7常见密码系统包含的元素是: A.明文、密文、信道、加密算法、解密算法 B.明文、摘要、信道、加密算法、解密算 C.明文、密文、密钥、加密算法、解密算法 D.消息、密文、信道、加密算法、解密算法 8在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于____________________ A.明文 B.密文 C.密钥 D.信道 9PKI在验证一个数字证书时需要查看_________来确认该证书是否已经作废 A.ARL B.CSS C.KMS D.CRL 10、一项功能可以不由认证中心CA完成? A.撤销和中止用户的证书 B.产生并分布CA的公钥 C.在请求实体和它的公钥间建立链接 D.发放并分发用户的证书
北京5月份CISE考试 1下面关于信息安全保障的说法错误的是: A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性,可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施各种保障要素,在系统的生命周 期内确保信息的安全属性。 2以下哪一项是数据完整性得到保护的例子? A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作 B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作 C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看 3、注重安全管理体系建设,人员意识的培训和教育,是信息安全发展哪一个阶段的特点? A.通信安全 B.计算机安全 C.信息安全 D.信息安全保障 4、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一? A.提高信息技术产品的国产化率 B.保证信息安全资金注入 C.加快信息安全人才培养 D.重视信息安全应急处理工作 5、以下关于置换密码的说法正确的是: A.明文根据密钥被不同的密文字母代替 B.明文字母不变,仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或 D.明文根据密钥作了移位 6、以下关于代替密码的说法正确的是: A.明文根据密钥被不同的密文字母代替 B.明文字母不变,仅仅是位置根据密钥发生改变 C.明文和密钥的每个bit异或 D.明文根据密钥作了移位 7、常见密码系统包含的元素是: A.明文、密文、信道、加密算法、解密算法 B.明文、摘要、信道、加密算法、解密算法 C.明文、密文、密钥、加密算法、解密算法 D.消息、密文、信道、加密算法、解密算法 8、在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于____________________ A.明文 B.密文 C.密钥 D.信道 9、PKI在验证一个数字证书时需要查看_________来确认该证书是否已经作废 A.ARL B.CSS C.KMS D.CRL 10、一项功能可以不由认证中心CA完成?
1.某公司准备在业务环境中部署一种新的计算机产品,下列哪一项是授权过程的最后一步? A.认证 B.定级 C.认可 D.识别 答案:C 2.下列哪一项准确地描述了可信计算基(TCB)? A.TCB只作用于固件(Firmware) B.TCB描述了一个系统提供的安全级别 C.TCB描述了一个系统内部的保护机制 D.TCB通过安全标签来表示数据的敏感性 答案:C 3.下列哪一项安全机制是一个抽象机,不但确保主体拥有必要的访问权限,而且确保对客体不会有未经 授权的访问以及破坏性的修改行为? A.安全核心 B.可信计算基 C.引用监视器 D.安全域 答案:C 4.安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中的“简单安全 规则”? A.Biba模型中的不允许向上写 B.Biba模型中的不允许向下读 C.Bell-LaPadula模型中的不允许向下写 D.Bell-LaPadula模型中的不允许向上读 答案:D 5.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下列哪一项最好 地描述了星或(*-)完整性原则? A.Bell-LaPadula模型中的不允许向下写 B.Bell-LaPadula模型中的不允许向上读 C.Biba模型中的不允许向上写 D.Biba模型中的不允许向下读 答案:C 6.某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来 操作业务数据,这种情况属于下列哪种安全模型的一部分? A.Bell-LaPadula模型 B.Biba模型 C.信息流模型 D.Clark-Wilson模型 答案:D 7.作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动 性较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?
1 .美国的关键信息基础设施(criticallnformationlnfrastructure , Cll)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括: A. 这些行业都关系到国计民生,对经济运行和国家安全影响深远 B. 这些行业都是信息化应用广泛的领域 C. 这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出 D. 这些行业发生信息安全事件,会造成广泛而严重的损失 2.关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确: A. 20PP-20PP年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该 机构是我国信息安全保障工作的最高领导机构 B. 20PP-20PF年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略 C. 20PP-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功& D. 20PP- 至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信 息安全保障工作迈出了坚实步伐 3?依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是: A、信息系统安全保障目的 B、环境安全保障目的 C、信息系统安全保障目的和环境安全保障目的 D、信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的 4. 以下哪一项是数据完整性得到保护的例子? A. 某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作 B. 在提款过程中AT瞰端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作& C?某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看 5. 公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案 时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要 这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下 面说法哪个是错误的: A. 乙对信息安全不重视,低估了黑客能力,不舍得花钱& B. 甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费
1.某公司准备在业务环境中部署一种新的计算机产品,下列哪一项是授权过程的最后一步? A.定级 B.认可 C.识别 2.下列哪一项准确地描述了可信计算基(TCB)? A.TCB只作用于固件(Firmware) B.TCB描述了一个系统内部的保护机制 C.TCB通过安全标签来表示数据的敏感性 3.下列哪一项安全机制是一个抽象机,不但确保主体拥有必要的访问权限,而且确保对客 体不会有未经授权的访问以及破坏性的修改行为? A.安全核心 B.可信计算基 C.安全域 4.安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中 的“简单安全规则”? A.Biba模型中的不允许向上写 B.Biba模型中的不允许向下读 C.Bell-LaPadula模型中的不允许向下写 答案:D 5.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下 列哪一项最好地描述了星或(*-)完整性原则? A.Bell—LaPadula模型中的不允许向下写 B.Bell—LaPadula模型中的不允许向上读 C.Biba模型中的不允许向下读 6.某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通 过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分? A.Bell-LaPadula模型 B.Biba模型 C.信息流模型 7.作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公 司的人员流动性较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型? A.自主访问控制(DAC) B.强制访问控制(MAC) C. D.最小特权(Least Privilege) 8.下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互?
1.下面关于信息安全保障的说法正确的是: A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性、可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施 在系统的生命周期内确保信息的安全属性 2.根据《 GB / T20274 信息安全保障评估框架》,对信息系统安全保障能力 进行评估应 A.信息安全管理和信息安全技术2 个方面进行 B.信息安全管理、信息安全技术和信息安全工程3 个方面进行 C.信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进 行 3.哪一项不是《 GB / T20274 信息安全保障评估框架》给出的信息安全保障 模 通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征 4.对于信息安全发展历史描述正确的是: A.信息安全的概念是随着计算机技术的广泛应用而诞生的 B.目前信息安全己经发展到计算机安全的阶段 C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人 员同样是促进系统安全性的重要因素 D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”, 再到“信息安全”,直至现在的“信息安全保障” 5.ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务 A.加密 B.数字签名 C.访问控制 D.路由控制
6.表示层 7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用 性三项信息安全特性 A.ITSEC B.TCSEC C.GB/T9387.2 D.彩虹系列的橙皮书 8.下面对于CC 的“保护轮廓”( PP )的说法最准确的是: A.对系统防护强度的描述 B.对评估对象系统进行规范化的描述 C.对一类TOE 的安全需求,进行与技术实现无关的描述 D.由一系列保证组件构成的包,可以代表预先定义的保证尺度 9.以下哪一项属于动态的强制访问控制模型? A.Bell一Lapudufa 模型 B. 10. C.Strong star property 处于 D.Bell 一Lapadula 模型的访问规则主要是出于对保密性的保护而制定的 11.下面对于强制访问控制的说法错误的是? A 它可以用来实现完整性保护,也可以用来实现机密性保护 B在强制访问控制的系统中,用户只能定义客体的安全属性 C 它在军方和政府等安全要求很高的地方应用较多 D 它的缺点是使用中的便利性比较低
1.美国的关键信息基础设施(critical Information Infrastructure,CII)包 括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信 息安全,其主要原因不包括: A.这些行业都关系到国计民生,对经济运行和国家安全影响深远 B.这些行业都是信息化应用广泛的领域 C.这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其 他行业更突出 D.这些行业发生信息安全事件,会造成广泛而严重的损失 2.关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确: A.2001-2002 年是启动阶段,标志性事件是成立了网络与信息安全协调小组, 该机构是我国信息安全保障工作的最高领导机构 B.2003-2005 年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27 号文件)并颁布了国家信息安 全战略 C.2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得 圆满成功& D.2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信 息安全保障工作迈出了坚实步伐 3.依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是: A、信息系统安全保障目的 B、环境安全保障目的 C、信息系统安全保障目的和环境安全保障目的 D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安 全保障目的 4.以下哪一项是数据完整性得到保护的例子? A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户 可以完成操作 B.在提款过程中ATM 终端发生故障,银行业务系统及时对该用户的账户余额进 行了冲正操作& C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机 进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的 商业间谍无法查看 5.公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要 这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下 面说法哪个是错误的: A.乙对信息安全不重视,低估了黑客能力,不舍得花钱&
1、下列对于信息安全保障深度防御模型的说法错误的是: A、信息安全外部环境、信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下 B、信息安全管理和工程,信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统 C、信息安全人才体系,在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分 D、信息安全技术方案:“从外面内,自下而上,形成边界到端的防护能力” 2、人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于: A、为了更好地完成组织机构的使命 B、针对信息系统的攻击方式发生重大变化 C、风险控制技术得到革命性的发展 D、除了保密性,信息的完整性和可用性也引起了人们的关注 3、关于信息保障技术框架(IATF),下列哪种说法是错误的? A、IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障 B、IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作 C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全 D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全 4、信息系统保护轮廓(ISPP)定义了___________ A、某种类型信息系统的与实现无关的一组系统级安全保障要求 B、某种类型信息系统的与实现相关的一组系统级安全保障要求 C、某种类型信息系统的与实现无关的一组系统级安全保障目的 D、某种类型信息系统的与实现相关的一组系统级安全保障目的 5、下面对于信息安全特征和范畴的说法错误的是: A、信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术问题,还要考虑人员、管理、政策等众多因素 B、信息安全是一个动态的问题,它随着信息技术的发展普及,以及产业基础、用户认识、投入产出而发展 C、信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的 D、信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点 6、椭圆曲线密码方案是指: A、基于椭圆曲线上的大整数分解问题构建的密码方案 B、通过椭圆曲线方程求解的困难性构建的密码方案 C、基于椭圆曲线上有限域离散对数问题构建的密码方案 D、通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案 7、hash算法的碰撞是指: A、两个不同的消息,得到相同的消息摘要 B、两个相同的消息,得到不同的消息摘要 C、消息摘要和消息的长度相同 D、消息摘要比消息长度更长 8、Alice从Sue那里收到一个发给她的密文,其他人无法解密这个密文,Alice需要用哪个密钥来解密这个密文? A、Alice的公钥 B、Alice的私钥 C、Sue的公钥 D、Sue的私钥 9、数字签名应具有的性质不包括: A、能够验证签名者 B、能够认证被签名消息 C、能够保护被签名的数据机密性 D、签名必须能够由第三方验证
1.美国的关键信息基础设施(criticalInformationInfrastructure,CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括: A.这些行业都关系到国计民生,对经济运行和国家安全影响深远 B.这些行业都是信息化应用广泛的领域 C.这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出 D.这些行业发生信息安全事件,会造成广泛而严重的损失 2.关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确:A.20XX-20XX年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构 B.20XX-20XX年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略 C.20XX-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功& D.20XX-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐 3.依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是: A、信息系统安全保障目的 B、环境安全保障目的
C、信息系统安全保障目的和环境安全保障目的 D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的 4.以下哪一项是数据完整性得到保护的例子? A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作 B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作& C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看 5.公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下面说法哪个是错误的: A.乙对信息安全不重视,低估了黑客能力,不舍得花钱& B.甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费C.甲未充分考虑网游网站的业务与政府网站业务的区别 D.乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求 6.进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是: A.与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重
CISP试题及答案-套题
————————————————————————————————作者:————————————————————————————————日期:
CISP培训模拟考试(二) 姓名:单位: 1.FTP使用哪个TCP端口? A.21 B.23 C.110 D.53 2.TACACS(终端访问控制器访问控制系统,AAA认证协议的一种?)使用哪个端口?A.TCP 69 B.TCP 49(TACACS+) C.UDP 69 D.UDP 49 3.LDAP使用哪个端口?(LDAP轻量目录访问协议,根据目录树的结构给予不同的员工组不同的权限) A.TCP 139 B.TCP 119 C.UDP 139 D.UDP 389 4.FINGER服务使用哪个TCP端口?(Finger服务可用于查询用户的信息,包括网上成员的真实姓名、用户名、最近登录时间和地点等,要关闭) A.69 B.119 C.79 D.70 5.DNS 查询(queries)工具中的DNS服务使用哪个端口? A.UDP 53 B.TCP 23 C.UDP 23 D.TCP 53 6.在零传输(Zone transfers)中DNS服务使用哪个端口? A.TCP 53 B. UDP 53 C.UDP 23 D. TCP 23 7.哪个端口被设计用作开始一个SNMP Trap? A.TCP 161 B. UDP 161 C.UDP 162 D. TCP 169 8.在C/S环境中,以下哪个是建立一个完整TCP连接的正确顺序? A.SYN,SYN/ACK,ACK B.Passive Open,Active Open,ACK,ACK C.SYN,ACK/SYN,ACK D.Active Open /Passive Open,ACK,ACK 9.TCP/IP的通信过程是? A.——SYN/ACK——>,<——ACK,——SYN/ACK——> B.——SYN/ACK——>,<——SYN/ACK——,——ACK——> C.——SYN——>,<——ACK,——SYN——>,<——ACK——D.——SYN——>,<——SYN/ACK——,——ACK——> 10.TCP握手中,缩写RST指的是什么? A.Reset B.Response C.Reply State D.Rest 11.191.64.12.22是哪类地址? A.A类B.B类C.C类D.D类 12.255.0.0.0是哪类网址的默认MASK?
1. 以下对信息安全描述不正确的是 A.信息安全的基本要素包括保密性、完整性和可用性 B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性 C.信息安全就是不出安全事故/事件 D.信息安全不仅仅只考虑防止信息泄密就可以了 【答案】C 2. 以下对信息安全管理的描述错误的是 A.保密性、完整性、可用性 B.抗抵赖性、可追溯性 C.真实性私密性可靠性 D.增值性 【答案】D 3. 以下对信息安全管理的描述错误的是 A.信息安全管理的核心就是风险管理 B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性 C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂 D.信息安全管理工作的重点是信息系统,而不是人 【答案】D 4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是 A. 不需要全体员工的参入,只要IT部门的人员参入即可 B. 来自高级管理层的明确的支持和承诺 C.对企业员工提供必要的安全意识和技能的培训和教育 D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行 【答案】A 5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是 A. ISMS是一个遵循PDCA模式的动态发展的体系 B. ISMS是一个文件化、系统化的体系 C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定 D. ISMS应该是一步到位的,应该解决所有的信息安全问题 【答案】D 6. PDCA特征的描述不正确的是 A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题 B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题 C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足 D. 信息安全风险管理的思路不符合PDCA的问题解决思路 【答案】D 7. 以下哪个不是信息安全项目的需求来源 A. 国家和地方政府法律法规与合同的要求
CISP培训模拟考试(二) 姓名:单位: 1.FTP使用哪个TCP端口 A.21 B.23 (终端访问控制器访问控制系统,AAA认证协议的一种)使用哪个端口 A.TCP 69 49 (TACACS+) 69 49 使用哪个端口(LDAP轻量目录访问协议,根据目录树的结构给予不同的员工组不同的权限)A.TCP 139 119 139 389 4.FINGER服务使用哪个TCP端口(Finger服务可用于查询用户的信息,包括网上成员的真实姓名、用户名、最近登录时间和地点等,要关闭) A.69 B.119 5.DNS 查询(queries)工具中的DNS服务使用哪个端口 A.UDP 53 23 23 53 6.在零传输(Zone transfers)中DNS服务使用哪个端口 A.TCP 53 B. UDP 53 23 D. TCP 23
7.哪个端口被设计用作开始一个SNMP Trap A.TCP 161 B. UDP 161 162 D. TCP 169 8.在C/S环境中,以下哪个是建立一个完整TCP连接的正确顺序A.SYN,SYN/ACK,ACK B.Passive Open,Active Open,ACK,ACK C.SYN,ACK/SYN,ACK D.Active Open /Passive Open,ACK,ACK 9.TCP/IP的通信过程是 A.——SYN/ACK——>,<——ACK,——SYN/ACK——> B.——SYN/ACK——>,<——SYN/ACK——,——ACK——> C.——SYN——>,<——ACK,——SYN——>,<——ACK——D.——SYN——>,<——SYN/ACK——,——ACK——> 10.TCP握手中,缩写RST指的是什么 A.Reset B.Response C.Reply State D.Rest 11.是哪类地址 A.A类B.B类C.C类D.D类 12.是哪类网址的默认MASK A.A类B.B类C.C类D.D类
1C2A3D4B5C 1、下列对于信息安全保障深度防御模型的说法错误的是: A、信息安全外部环境、信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下 B、信息安全管理和工程,信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统 C、信息安全人才体系,在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分 D、信息安全技术方案:“从外面内,自下而上,形成边界到端的防护能力” 2、人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于: A、为了更好地完成组织机构的使命 B、针对信息系统的攻击方式发生重大变化 C、风险控制技术得到革命性的发展 D、除了保密性,信息的完整性和可用性也引起了人们的关注 3、关于信息保障技术框架(IATF),下列哪种说法是错误的? A、IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障 B、IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作 C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全 D、IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全 4、信息系统保护轮廓(ISPP)定义了___________ A、某种类型信息系统的与实现无关的一组系统级安全保障要求 B、某种类型信息系统的与实现相关的一组系统级安全保障要求 C、某种类型信息系统的与实现无关的一组系统级安全保障目的 D、某种类型信息系统的与实现相关的一组系统级安全保障目的 5、下面对于信息安全特征和范畴的说法错误的是: A、信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术问题,还要考虑人员、管理、政策等众多因素 B、信息安全是一个动态的问题,它随着信息技术的发展普及,以及产业基础、用户认识、投入产出而发展 C、信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的 D、信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点 6C7A8B9C10D 6、椭圆曲线密码方案是指: A、基于椭圆曲线上的大整数分解问题构建的密码方案 B、通过椭圆曲线方程求解的困难性构建的密码方案 C、基于椭圆曲线上有限域离散对数问题构建的密码方案
101.最小特权是软件安全设计的基本原则,某应用程序在设计时, 设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个? A.软件在Linux 下按照时,设定运行时使用nobody 用户运行实例B.软件的日志备份模块由于需要备份所有数据库数据,在备份模块 运行时,以数据库备份操作员账号连接数据库 C.软件的日志模块由于要向数据库中的日志表中写入日志信息,使 用了一个日志用户账 号连接数据库,该账号仅对日志表拥有权限 D.为了保证软件在Wi ndows 下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误& 102.某单位计划在今年开发一套办公自动化(OA)系统,将集团公司 各地的机构通过互联网进行协同办公,在OA 系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条? A.对软件开发商提出安全相关要求,确保软件开发商对安全足够的 重视,投入资源解决软件安全问题 B.要求软件开发人员进行安全开发培训,使开发人员掌握基本软件 安全开发知识 C.要求软件开发商使用Java 而不是ASP 作为开发语言,避免产生SQL 注入漏洞& D.要求软件开发商对软件进行模块化设计,各模块明确输入和输出
数据格式,并在使用前对输入数据进行校验 103.某单位根据业务需要准备立项开发一个业务软件,对于软件开 发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发 阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法? A.信息中心的考虑是正确的,在软件立项投入解决软件安全问题, 总体经费投入比软件运行后的费用要低& B.软件开发部门的说法是正确的,因为软件发现问题后更清楚问题 所在,安排人员进行代码修订更简单,因此费用更低 C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决 问题还是在上线后再解决问题费用更低 D.双方的说法都错误,软件安全问题在任何时候投入解决都可以, 只要是一样的问题,解决的代价相同 104.某集团公司根据业务需要,在各地分支机构部署前置机,为了 保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采 取以下哪项处理措施? A.由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取 日志进行分析
cisp题库 CISP既"注册信息安全专业人员",系国家对信息安全人员资质的最高认可。英文为Certified Information Security Professional (简称CISP),CISP系经中国信息安全产品测评认证中心(已改名中国信息安全测评中心)实施国家认证。CISP是强制培训的。如果想参加CISP考试,必须要求出具授权培训机构的培训合格证明。注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。CISP作为目前国内最权威的信息安全认证,将会使您的个人职业生涯稳步提升,同时,CISP也是国内拥有会员数最多的信息安全认证,你可以通过CISP之家俱乐部与行业精英交流分享,提高个人信息安全保障水平。 折叠适用人群 包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员、企业信息安全主管、信息安全服务提供商、IT 或安全顾问人员、IT审计人员、信息安全类讲师或培训人员、信息安全事件调查人员、其他从事与信息安全相关工作的人员(如系统管理员、程序员等) 1、CISE(注册信息安全工程师): 适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员 2、CISO(注册信息安全管理人员): 适合政府、各大企事业单位的网络安全管理人员,也适合网络安全集成服务提供商的网络安全顾问人员 3、CISA(注册信息安全审核员): 适合政府、各大企事业单位的网络安全技术人员、也适合网络安全集成服务提供商的网络安全顾问人员
注册信息安全专业人员资质认证考试 CISP模拟考试 姓名考试日期 身份证 声明: (1)本考卷题目知识产权属于中国信息安全产品测评认证中心,任何人不可将考试题目泄露给他人,违者将追究其相关责任。(2)试卷答案请填写在答题卡,考试结束后,将此试卷与答题卡一起上交,缺一无效。 (3)本试卷均为单选题,请选择最恰当的一个答案作答。 (4)如有任何建议请e-mail: training@https://www.doczj.com/doc/8113618842.html,
1.在橙皮书的概念中,信任是存在于以下哪一项中的? A. 操作系统 B. 网络 C. 数据库 D. 应用程序系统 答案:A 备注:[标准和法规(TCSEC)] 2.下述攻击手段中不属于DOS攻击的是: () A. Smurf攻击 B. Land攻击 C. Teardrop攻击 D. CGI溢出攻击 答案:D。 3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:() A. “普密”、“商密”两个级别 B. “低级”和“高级”两个级别 C. “绝密”、“机密”、“秘密”三个级别 D. “一密”、“二密”、“三密”、“四密”四个级别 答案:C。 4.应用软件测试的正确顺序是: A. 集成测试、单元测试、系统测试、验收测试 B. 单元测试、系统测试、集成测试、验收测试 C. 验收测试、单元测试、集成测试、系统测试 D. 单元测试、集成测试、系统测试、验收测试 答案:选项D。 5.多层的楼房中,最适合做数据中心的位置是: A. 一楼 B. 地下室 C. 顶楼 D. 除以上外的任何楼层 答案:D。 6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须 加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是: A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一 系列环节。
1.以下对信息安全问题产生的根源描述最准确的是: A. 信息安全问题是由于信息技术的不断发展造成的 B. 信息安全问题是由于黑客组织和犯罪集团追求名和利造成的 C. 信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 D. 信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏 2.中国信息安全测评中心对 CISP 注册信息安全专业人员有保持认证要求,在证书有效期 内,应完成至少 6 次完整的信息安全服务经历,以下哪项不是信息安全服务: A、为政府单位信息系统进行安全方案设计 B、在信息安全公司从事保安工作 C、在公开场合宣讲安全知识 D、在学校讲解信息安全课程 3. 确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,不为其 所用,是指: A、完整性 B、可用性 C、保密性 D、抗抵赖性 4. 下列信息系统安全说法正确的是: A.加固所有的服务器和网络设备就可以保证网络的安全 B.只要资金允许就可以实现绝对的安全 C.断开所有的服务可以保证信息系统的安全 D.信息系统安全状态会随着业务系统的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略 5. OSI 开放系统互联安全体系架构中的安全服务分为鉴别服务、访问控制、机密性服务、 完整性服务、抗抵赖服务,其中机密性服务描述正确的是? A.包括原发方抗抵赖和接受方抗抵赖 B.包括连接机密性、无连接机密性、选择字段机密性和业务流保密 C.包括对等实体鉴别和数据源鉴别 D.包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整 性、无连接完整性和选择字段无连接完整性 页码:1