CISP專業(yè)考試2022年8月真題庫(第二套)

BBCISP專業(yè)考試2022年8月真題庫（第二套）1、美國的關(guān)鍵信息基礎(chǔ)設(shè)施（criticalinformationinfratructure,CII）包括商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、飲用水和廢水處理系統(tǒng)、公共健康和醫(yī)療、能源、銀行和金融、國防工業(yè)基地等等，美國政府強點保障這些基礎(chǔ)設(shè)施信息安全，其主要原因不包括A、這些行業(yè)都關(guān)系到國計民生，對經(jīng)濟運行和國家安全影響深遠口B、這些行業(yè)都是信息化應(yīng)用廣泛的領(lǐng)域口C、這些行業(yè)信息系統(tǒng)普遍存在安全隱患，而且信息安全專業(yè)人才缺乏的現(xiàn)象比其它行業(yè)更突出D、這些行業(yè)發(fā)生信息安全事件，會造成廣泛而嚴重的損失口C2、關(guān)于我國信息安全保障工作發(fā)展的幾個階段，下列哪個說法不正確A、2001-2002年是啟動階段，標志性事件是成立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，該機構(gòu)是我國信息安全保障工作的最高領(lǐng)導(dǎo)機構(gòu)B、2003-2005年是逐步展開和積極推進階段，標志性事件是發(fā)布了指導(dǎo)性文件《關(guān)于加強信息安全保障工作的意見》（中辦發(fā)27號文件）并頒布了國家信81息安全戰(zhàn)略C、2005-至今是深化落實階段，標志性事件是奧運會和世博會信息安全保障取得圓滿成功D、2005-至今是深化落實階段，信息安全保障體系建設(shè)取得實質(zhì)性進展，各項信息安全保障工作邁出了堅實步伐C3、依據(jù)國家標準/T20274《信息系統(tǒng)安全保障評估框架》，信息系統(tǒng)安全目標（上51）中，安全保障目的指的是口A、信息系統(tǒng)安全保障目的口B、環(huán)境安全保障目的口C、信息系統(tǒng)安全保障目的和環(huán)境安全保障目的口D、信息系統(tǒng)整體安全保障目的、管理安全保障目的、技術(shù)安全保障目的和工程安全保障目的D4、以下哪一項是數(shù)據(jù)完整性得到保護的例子？A、某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)進行了限制，保證已登錄的用戶可以完成操作B、在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作C、某網(wǎng)管系統(tǒng)具有嚴格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操作D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看BB5、公司甲做了很多政府網(wǎng)站安全項目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計安全保障方案時，借鑒以前項目經(jīng)驗，為乙設(shè)計了多重數(shù)據(jù)加密安全措施，但用戶有提出不需要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限，雙方引起爭議。下面說法哪個是錯誤的A、乙對信息安全不重視，低估了黑客的能力，不舍得花錢口B、甲在需求分析階段沒有進行風險評估，所部署的加密針對性不足，造成浪費C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別口D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風險，與甲共同確定網(wǎng)站安全需求口A6、進入21世紀以來，信息安全成為世界各國安全戰(zhàn)略關(guān)注的重點，紛紛制定并頒布網(wǎng)絡(luò)空間安全戰(zhàn)略，但各國歷史，國情和文化不同，網(wǎng)絡(luò)空間安全戰(zhàn)略的內(nèi)容也各不相同，以下說法不正確的是人、與國家安全、社會穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施是各國安全保障的重點B、美國尚未設(shè)立中央政府級的專門機構(gòu)處理網(wǎng)絡(luò)信息安全問題，信息安全管理職能由不同政府部門的多個機構(gòu)共同承擔C、各國普遍重視信息安全事件的應(yīng)急響應(yīng)處理口D、在網(wǎng)絡(luò)安全戰(zhàn)略中，各國均強調(diào)加強政府管理力度，充分利用社會資源，發(fā)揮政府與企業(yè)之間的合作關(guān)系7、與PDR模型相比，P2DR模型多了哪一個環(huán)節(jié)口A、防護口B、檢測口C、反應(yīng)口D、策略口D8、以下關(guān)于項目的含義，理解錯誤的是人、項目是為達到特定的目的、使用一定的資源、在確定的期間內(nèi)、為特定發(fā)起人而提供獨特的產(chǎn)品、服務(wù)或成果而進行的一次性努力8、項目有明確的開始日期，結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進度來隨機確定&項目資源指完成項目所需要的人、財、物等口D、項目目標要遵守SMART原則，即項目的目標要求具體（Specific）、可測量（Meaurable）、需相關(guān)方的一致同步（Agreeto）、現(xiàn)實（Realitic）、有一定的時限（Time-oriented）口BA、CNCI是以風險為核心，三道防線首要的任務(wù)是降低其網(wǎng)絡(luò)所面臨的風險B、從CNCI可以看出，威脅主要是來自外部的，而漏洞和隱患主要是存在于內(nèi)部的C、CNCI的目的是盡快研發(fā)并部署新技術(shù)徹底改變其槽糕的網(wǎng)絡(luò)安全現(xiàn)狀,而不是在現(xiàn)在的網(wǎng)絡(luò)基礎(chǔ)上修修補補D、NCI徹底改變了以往的美國信息安全戰(zhàn)略,不再把關(guān)鍵基礎(chǔ)設(shè)施視為信息安全保障重點,而是追求所有網(wǎng)絡(luò)和系統(tǒng)的全面安全保障D10、下列對于信息安全保障深度防御模型的說法錯誤的是A、信息安全外部環(huán)境:信息安全保障是組織機構(gòu)安全、國家安全的一個重要組成部分,因此對信息安全的討論必須放在國家政策、法律法規(guī)和標準的外部環(huán)境制約下。B、信息安全管理和工程:信息安全保限需要在整個組織機構(gòu)內(nèi)建立和完善信息安全管理體系,將信息安全管理綜合至信息系統(tǒng)的整個生命周期,在這個過程中,我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)C、信息安全人才體系:在組織機構(gòu)中應(yīng)建立完善的安全意識,培訓(xùn)體系也是信息安全保障的重要組成部分D、信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護能力”D11、如圖,某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網(wǎng)銀系統(tǒng),此過程屬于以下哪一類A、個人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別口B、由可信第三方完成的用戶身份鑒別口C、個人網(wǎng)銀系統(tǒng)對用戶身份的單向簽別口D、用戶對個人網(wǎng)銀系統(tǒng)合法性的單向鑒別口C12、如下圖所示,Aice用Bob的密鑰加密明文,將密文發(fā)送給Bob,Bob再用自己的私鑰解密,恢復(fù)出明文。以下說法正確的是A、此密碼體制為對稱密碼體制口B、此密碼體制為私鑰密碼體制口C、此密碼體制為單鑰密碼體制口D、此密碼體制為公鑰密碼體制口D13、下列哪一種方法屬于基于實體“所有”鑒別方法A、用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別口B、用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別口C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù),對系統(tǒng)發(fā)送的挑戰(zhàn)進行正確應(yīng)答,通過身份鑒別D、用戶使用集成電路卡（如智能卡）完成身份鑒別口D14、為防范網(wǎng)絡(luò)欺詐確保交易安全,網(wǎng)銀系統(tǒng)首先要求用戶安全登錄,然后使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)賬等交易,在此場景中用到下列哪些鑒別方法A、實體“所知”以及實體“所有”的鑒別方法口B、實體“所有”以及實體“特征”的鑒別方法口C、實體“所知”以及實體“特征”的鑒別方法口D、實體“所有”以及實體“行為”的鑒別方法口A15、某單位開發(fā)了一個面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站.該單位委托軟件測評機構(gòu)對軟件進行了源代碼分析、模糊測試等軟件安全性測試,在應(yīng)用上線前,項目經(jīng)理提出了還需要對應(yīng)用網(wǎng)站進行一次滲透性測試,作為安全主管,你需要提出滲透性測試相比源代碼測試、模糊測試的優(yōu)勢給領(lǐng)導(dǎo)做決策,以下哪條是滲透性測試的優(yōu)勢A、滲透測試以攻擊者的思維模擬真實攻擊,能發(fā)現(xiàn)如配置錯誤等運行維護期產(chǎn)生的漏洞B、滲透測試是用軟件代替人工的一種測試方法,因此測試效率更高口C、滲透測試使用人工進行測試,不依賴軟件,因此測試更準確口D、滲透測試中必須要查看軟件源代碼,因此測試中發(fā)現(xiàn)的漏洞更多口A16、軟件安全設(shè)計和開發(fā)中應(yīng)考慮用戶穩(wěn)私保護,以下關(guān)于用戶隱私保護的說法哪個是錯誤的A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用口B、當用戶的數(shù)據(jù)由于某種原因要被使用時,給用戶選擇是否允許口C、用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù),其它都不是口D、確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)口C17、軟件安全保障的思想是在軟件的全生命周期中貫徹風險管理的思想,在有限資源前提下實現(xiàn)軟件安全最優(yōu)防護,避免防范不足帶來的直接損失,也需要關(guān)注過度防范造成的間接損失。在以下軟件安全開發(fā)策略中,不符合軟件安全保障思想的是A、在軟件立項時考慮到軟件安全相關(guān)費用,經(jīng)費中預(yù)留了安全測試、安全評審相關(guān)費用,確保安全經(jīng)費得到落實B、在軟件安全設(shè)計時,邀請軟件安全開發(fā)專家對軟件架構(gòu)設(shè)計進行評審,及時發(fā)現(xiàn)架構(gòu)設(shè)計中存在的安不足C、確保對軟件編碼人員進行安全培訓(xùn)，使開發(fā)人員了解安全編碼基本原則和方法，確保開發(fā)人員編寫出安全的代碼D、在軟件上線前對軟