CISP模擬試題7

1、.GB2/T 20274信息系統(tǒng)安全保障評(píng)估框架中的信息系統(tǒng)安全保障級(jí)中的級(jí)別是指：CA. 對(duì)抗級(jí)B. 防護(hù)級(jí)C. 能力級(jí)D. 監(jiān)管級(jí)3.下面對(duì)信息安全特征和范疇的說(shuō)法錯(cuò)誤的是：CA. 信息安全是一個(gè)系統(tǒng)性的問(wèn)題，不僅要考慮信息系統(tǒng)本身的技術(shù)文件，還有考慮人員、管理、政策等眾多因素B. 信息安全是一個(gè)動(dòng)態(tài)的問(wèn)題，他隨著信息技術(shù)的發(fā)展普及，以及產(chǎn)業(yè)基礎(chǔ)，用戶(hù)認(rèn)識(shí)、投入產(chǎn)出而發(fā)展C. 信息安全是無(wú)邊界的安全，互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來(lái)越模糊，因此確定一個(gè)組織的信息安全責(zé)任是沒(méi)有意義的D. 信息安全是非傳統(tǒng)的安全，各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享，決定了信息安全具有不同于傳統(tǒng)安全的特點(diǎn)4. 美國(guó)國(guó)防部提

2、出的信息保障技術(shù)框架（IATF）在描述信息系統(tǒng)的安全需求時(shí)，將信息技術(shù)系統(tǒng)分為：CA. 內(nèi)網(wǎng)和外網(wǎng)兩個(gè)部分B. 本地計(jì)算機(jī)環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施四個(gè)部分C. 用戶(hù)終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線(xiàn)路、應(yīng)用軟件五個(gè)部分D. 信用戶(hù)終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線(xiàn)路、應(yīng)用軟件，安全防護(hù)措施六個(gè)部分6. 關(guān)于信息安全策略的說(shuō)法中，下面說(shuō)法正確的是：CA. 信息安全策略的制定是以信息系統(tǒng)的規(guī)模為基礎(chǔ)B. 信息安全策略的制定是以信息系統(tǒng)的網(wǎng)絡(luò)？C. 信息安全策略是以信息系統(tǒng)風(fēng)險(xiǎn)管理為基礎(chǔ)D. 在信息系統(tǒng)尚未建設(shè)完成之前，無(wú)法確定信息安全策略8. 下列對(duì)于信息安全保障

3、深度防御模型的說(shuō)法錯(cuò)誤的是：CA. 信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國(guó)家安全的一個(gè)重要組成部分，因此對(duì)信息安全的討論必須放在國(guó)家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B. 信息安全管理和工程：信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期，在這個(gè)過(guò)程中，我們需要采用信息系統(tǒng)工程的方法來(lái)建設(shè)信息系統(tǒng)。C. 信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí)，培訓(xùn)體系無(wú)關(guān)緊要D. 信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成端到端的防護(hù)能力”9. 下面有關(guān)我國(guó)信息安全管理體制的說(shuō)法錯(cuò)誤的是：CA. 目前我國(guó)的信息安全保障工作是相

4、關(guān)部門(mén)各司其職、相互配合、齊抓共管的局面B. 我國(guó)的信息安全保障工作綜合利用法律、管理和技術(shù)的手段C. 我國(guó)的信息安全管理應(yīng)堅(jiān)持及時(shí)檢測(cè)、快速響應(yīng)、綜合治理的方針D. 我國(guó)對(duì)于信息安全責(zé)任的原則是誰(shuí)主管、誰(shuí)負(fù)責(zé)；誰(shuí)經(jīng)營(yíng)、誰(shuí)負(fù)責(zé)10.全面構(gòu)建我國(guó)信息安全人才體系是國(guó)家政策、組織機(jī)構(gòu)信息安全保障建設(shè)和信息安全有關(guān)人員自身職業(yè)發(fā)展三方面的共同要求?！凹涌煨畔踩瞬排嘤?xùn)，增強(qiáng)全民信息安全意識(shí)”的指導(dǎo)精神，是以下哪一個(gè)國(guó)家政策文件提出的？AA. 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)B. 信息安全等級(jí)保護(hù)管理辦法C.中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例D.關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管

5、理工作的通知11. 一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后，應(yīng)及時(shí)向哪一個(gè)部門(mén)報(bào)案？AA. 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其各地相應(yīng)部門(mén)B. 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心C. 互聯(lián)網(wǎng)安全協(xié)會(huì)D. 信息安全產(chǎn)業(yè)商會(huì)12. 下列哪個(gè)不是商用密碼管理?xiàng)l例規(guī)定的內(nèi)容：DA. 國(guó)家密碼管理委員會(huì)及其辦公室（簡(jiǎn)稱(chēng)密碼管理機(jī)構(gòu)）主管全國(guó)的商用密碼管理工作B. 商用密碼技術(shù)屬于國(guó)家秘密，國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷(xiāo)售和使用實(shí)行專(zhuān)控管理C. 商用密碼產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)許可的單位銷(xiāo)售D. 個(gè)人可以使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可之外的商用密碼產(chǎn)品13. 對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)

6、準(zhǔn)？BA. BMB20-2007涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范B. BMB22-2007涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南C. GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則D. GB/T20271-2006信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求14. 下面對(duì)于CC的“保護(hù)輪廓”（PP）的說(shuō)法最準(zhǔn)確的是：CA. 對(duì)系統(tǒng)防護(hù)強(qiáng)度的描述B. 對(duì)評(píng)估對(duì)象系統(tǒng)進(jìn)行規(guī)范化的描述C. 對(duì)一類(lèi)TOE的安全需求，進(jìn)行與技術(shù)實(shí)現(xiàn)無(wú)關(guān)的描述D. 由一系列保證組件構(gòu)成的包，可以代表預(yù)先定義的保證尺度15. 關(guān)于ISO/IEC21827:2002(SSE-CMM)描述不正確的是：DA

7、. SSE-CMM是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)B. SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過(guò)程C. SSE-CMM模型定義了一個(gè)安全工程應(yīng)有的特征，這些特征是完善的安全工程的根本保證D. SSE-CMM是用于對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行評(píng)估的標(biāo)準(zhǔn)16. 下面哪個(gè)不是ISO 27000系列包含的標(biāo)準(zhǔn) DA. 信息安全管理體系要求B. 信息安全風(fēng)險(xiǎn)管理C. 信息安全度量D. 信息安全評(píng)估規(guī)范17. 以下哪一個(gè)關(guān)于信息安全評(píng)估的標(biāo)準(zhǔn)首先明確提出了保密性、完整性和可用性三項(xiàng)信息安全特征？AA. ITSECB. TCSECC. GB/T9387.2D.彩虹系列的橙皮書(shū)18. 下

8、面哪項(xiàng)不是信息安全等級(jí)保護(hù)管理辦法（公通字【2007】43號(hào)）規(guī)定的內(nèi)容DA. 國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則B. 國(guó)家指定專(zhuān)門(mén)部門(mén)對(duì)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專(zhuān)門(mén)的監(jiān)督和檢查C. 跨省或全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可由主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)？D. 第二級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每？少進(jìn)行一次等級(jí)測(cè)評(píng)19. 觸犯新刑法285條規(guī)定的非法侵入計(jì)算機(jī)系統(tǒng)罪可判處A_。A. 三年以下有期徒刑或拘役B. 1000元罰款C. 三年以上五年以下有期徒刑D. 10000元罰款20. 常見(jiàn)密碼系統(tǒng)包含的元素是：CA. 明文，密文，信道，加密算法，解密算法

9、B. 明文，摘要，信道，加密算法，解密算法C. 明文，密文，密鑰，加密算法，解密算法D. 消息，密文，信道，加密算法，解密算法21. 公鑰密碼算法和對(duì)稱(chēng)密碼算法相比，在應(yīng)用上的優(yōu)勢(shì)是：DA. 密鑰長(zhǎng)度更長(zhǎng)B. 加密速度更快C. 安全性更高D. 密鑰管理更方便22. 以下哪一個(gè)密碼學(xué)手段不需要共享密鑰？BA.消息認(rèn)證B.消息摘要C.加密解密D.數(shù)字簽名24. 下列哪種算法通常不被用戶(hù)保證保密性？DA. AESB. RC4C. RSAD. MD525.數(shù)字簽名應(yīng)具有的性質(zhì)不包括：CA. 能夠驗(yàn)證簽名者B. 能夠認(rèn)證被簽名消息C. 能夠保護(hù)被簽名的數(shù)據(jù)機(jī)密性D. 簽名必須能夠由第三方驗(yàn)證26. 認(rèn)證

10、中心（CA）的核心職責(zé)是_A_。A. 簽發(fā)和管理數(shù)字證書(shū)B(niǎo). 驗(yàn)證信息C. 公布黑名單D. 撤銷(xiāo)用戶(hù)的證書(shū)28. 以下對(duì)于安全套接層（SSL）的說(shuō)法正確的是：CA. 主要是使用對(duì)稱(chēng)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性B. 可以在網(wǎng)絡(luò)層建立VPNC. 主要使用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用Web server方式D. 包含三個(gè)主要協(xié)議：AH,ESP,IKE31. 下面對(duì)訪問(wèn)控制技術(shù)描述最準(zhǔn)確的是：CA. 保證系統(tǒng)資源的可靠性B. 實(shí)現(xiàn)系統(tǒng)資源的可追查性C. 防止對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)D. 保證系統(tǒng)資源的可信性32. 以下關(guān)于訪問(wèn)控制表和訪問(wèn)能力表的說(shuō)法正確的是：DA. 訪問(wèn)

11、能力表表示每個(gè)客體可以被訪問(wèn)的主體及其權(quán)限B. 訪問(wèn)控制表說(shuō)明了每個(gè)主體可以訪問(wèn)的客體及權(quán)限C. 訪問(wèn)控制表一般隨主體一起保存D. 訪問(wèn)能力表更容易實(shí)現(xiàn)訪問(wèn)權(quán)限的傳遞，但回收訪問(wèn)權(quán)限較困難35. 下面哪一項(xiàng)訪問(wèn)控制模型使用安全標(biāo)簽（security labels）？CA. 自主訪問(wèn)控制B. 非自主訪問(wèn)控制C. 強(qiáng)制訪問(wèn)控制D. 基于角色的訪問(wèn)控制39. 基于生物特征的鑒別系統(tǒng)一般使用哪個(gè)參數(shù)來(lái)判斷系統(tǒng)的準(zhǔn)確度？CA. 錯(cuò)誤拒絕率B. 錯(cuò)誤監(jiān)測(cè)率C. 交叉錯(cuò)判率D. 錯(cuò)誤接受率41. 某個(gè)客戶(hù)的網(wǎng)絡(luò)限制可以正常訪問(wèn)internet互聯(lián)網(wǎng)，共有200臺(tái)終端PC但此客戶(hù)從ISP（互聯(lián)網(wǎng)絡(luò)服務(wù)提供商）

12、里只獲得了16個(gè)公有的IPv4地址，最多也只有16臺(tái)PC可以訪問(wèn)互聯(lián)網(wǎng)，要想讓全部200臺(tái)終端PC訪問(wèn)internet互聯(lián)網(wǎng)最好采取什么辦法或技術(shù)：BA. 花更多的錢(qián)向ISP申請(qǐng)更多的IP地址B. 在網(wǎng)絡(luò)的出口路由器上做源NATC. 在網(wǎng)絡(luò)的出口路由器上做目的NATD. 在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器42. WAPI采用的是什么加密算法？AA. 我國(guó)自主研發(fā)的公開(kāi)密鑰體制的橢圓曲線(xiàn)密碼算法B. 國(guó)際上通行的商用加密標(biāo)準(zhǔn)C. 國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn)D. 國(guó)際通行的哈希算法43. 以下哪種無(wú)線(xiàn)加密標(biāo)準(zhǔn)的安全性最弱？AA. wepB. wpaC. wpa2D. wapi44. 以

13、下哪個(gè)不是防火墻具備的功能？DA. 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合B. 它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口C. 能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流D. 防止來(lái)源于內(nèi)部的威脅和攻擊45. 簡(jiǎn)單包過(guò)濾防火墻主要工作在_B_A. 鏈路層/網(wǎng)絡(luò)層B. 網(wǎng)絡(luò)層/傳輸層C. 應(yīng)用層D. 會(huì)話(huà)層46. 橋接或透明模式是目前比較流行的防火墻部署方式，這種方式的優(yōu)點(diǎn)不包括：DA. 不需要對(duì)原有的網(wǎng)絡(luò)配置進(jìn)行修改B. 性能比較高C. 防火墻本身不容易受到攻擊D. 易于在防火墻上實(shí)現(xiàn)NAT48. 以下哪一項(xiàng)不屬于入侵檢測(cè)系統(tǒng)的功能？DA

14、. 監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流B. 捕捉可以的網(wǎng)絡(luò)活動(dòng)C. 提供安全審計(jì)報(bào)告D. 過(guò)濾非法的數(shù)據(jù)包49. 有一類(lèi)IDS系統(tǒng)將所觀察到的活動(dòng)同認(rèn)為正常的活動(dòng)進(jìn)行比較并識(shí)別重要的偏差來(lái)發(fā)現(xiàn)入侵事件，這種機(jī)制稱(chēng)作：AA. 異常檢測(cè)B. 特征檢測(cè)C. 差距分析D. 對(duì)比分析51. 在Unix系統(tǒng)中，/etc/service文件記錄了什么內(nèi)容？AA. 記錄一些常用的接口及其所提供的服務(wù)的對(duì)應(yīng)關(guān)系B. 決定inetd啟動(dòng)網(wǎng)絡(luò)服務(wù)時(shí)，啟動(dòng)哪些服務(wù)C. 定義了系統(tǒng)缺省運(yùn)行級(jí)別，系統(tǒng)進(jìn)入新運(yùn)行級(jí)別需要做什么D. 包含了系統(tǒng)的一些啟動(dòng)腳本53. 以下哪個(gè)對(duì)windows系統(tǒng)日志的描述是錯(cuò)誤的？DA. windows系

15、統(tǒng)默認(rèn)有三個(gè)日志，系統(tǒng)日志、應(yīng)用程序日志、安全日志B. 系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，例如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件或者硬件和控制器的故障C. 應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載DLL（動(dòng)態(tài)鏈接庫(kù)）失敗的信息D. 安全日志跟蹤各類(lèi)網(wǎng)絡(luò)入侵事件，例如拒絕服務(wù)攻擊、口令暴力破解等54. 以下關(guān)于windows SAM（安全賬號(hào)管理器）的說(shuō)法錯(cuò)誤的是：cA. 安全賬號(hào)管理器（SAM）具體表現(xiàn)就是%SystemRoot%system32configsamB. 安全賬號(hào)管理器（SAM）存儲(chǔ)的賬號(hào)信息是存儲(chǔ)在注冊(cè)表中C. 安全賬號(hào)管理器（SAM）存儲(chǔ)的賬號(hào)信息對(duì)administrato

16、r和system是可讀和可寫(xiě)的D. 安全賬號(hào)管理器（SAM）是windows的用戶(hù)數(shù)據(jù)庫(kù)，系統(tǒng)進(jìn)程通過(guò)security accounts manager服務(wù)進(jìn)行訪問(wèn)和操作55. 在關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)中通過(guò)“視圖（view）”技術(shù)，可以實(shí)現(xiàn)以下哪一種安全原則？BA. 縱深防御原則B. 最小權(quán)限原則C. 職責(zé)分離原則D. 安全性與便利性平衡原則56. 數(shù)據(jù)庫(kù)事務(wù)日志的用途是什么？ BA. 事務(wù)處理B. 數(shù)據(jù)恢復(fù)C. 完整性約束D. 保密性控制57. 下面對(duì)于cookie的說(shuō)法錯(cuò)誤的是： DA. cookie是一小段存儲(chǔ)在瀏覽器端文本信息，web應(yīng)用程序可以讀取cookie包含的信息B. cookie

17、可以存儲(chǔ)一些敏感的用戶(hù)信息，從而造成一定的安全風(fēng)險(xiǎn)C. 通過(guò)cookie提交精妙構(gòu)造的移動(dòng)代碼，繞過(guò)身份驗(yàn)證的攻擊叫做 cookie欺騙D. 防范cookie欺騙的一個(gè)有效方法是不使用cookie驗(yàn)證方法，而使用session驗(yàn)證方法58. 攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶(hù)認(rèn)為該頁(yè)面是可信賴(lài)的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行，這是哪種類(lèi)型的漏洞？DA. 緩沖區(qū)溢出B. SQL注入C. 設(shè)計(jì)錯(cuò)誤D. 跨站腳本59. 通常在網(wǎng)站數(shù)據(jù)庫(kù)中，用戶(hù)信息中的密碼一項(xiàng)，是以哪種形式存在？CA. 明文形式存在B. 服務(wù)器加密后的密文形式存在C. hash運(yùn)

18、算后的消息摘要值存在D. 用戶(hù)自己加密后的密文形式存在64.下列屬于DDOS攻擊的是：BA. Men-in-Middle攻擊B. SYN洪水攻擊C. TCP連接攻擊D. SQL注入攻擊65.如果一名攻擊者截獲了一個(gè)公鑰，然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接收者，這種情況屬于哪一種攻擊？DA. 重放攻擊B. Smurf攻擊C. 字典攻擊D. 中間人攻擊66. 滲透性測(cè)試的第一步是：AA. 信息收集B. 漏洞分析與目標(biāo)選定C. 拒絕服務(wù)攻擊D. 嘗試漏洞利用67. 通過(guò)網(wǎng)頁(yè)上的釣魚(yú)攻擊來(lái)獲取密碼的方式，實(shí)質(zhì)上是一種：AA. 社會(huì)工程學(xué)攻擊B. 密碼分析學(xué)C. 旁路攻擊D. 暴力破解攻擊70.以下哪個(gè)不是減少軟件自身的安全漏洞和緩解軟件自身安全漏洞的危害的方法？DA. 加強(qiáng)軟件的安全需求分析，準(zhǔn)確定義安全需求B. 設(shè)計(jì)符合安全準(zhǔn)則的功能、安全功能與安全策略C. 規(guī)范開(kāi)發(fā)的代碼，符合安全編碼規(guī)范D. 編制詳細(xì)軟件安全使用手冊(cè)，幫助設(shè)置良好的安全使用習(xí)