【爱思考】CISP考试试题介绍(其中一部分)
- 人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于: A.为了更好地完成组织机构的使命
B.针对信息系统的攻击方式发生重大变化 C.风险控制技术得到革命性的发展
D.除了保密性,信息的完整性和可用性也引起人们的关注 2. 信息安全保障的最终目标是: A.掌握系统的风险,制定正确的策略 B.确保系统的保密性、完整性和可用性
C.使系统的技术、管理、工程过程和人员等安全保障要素达到要求 D.保障信息系统实现组织机构的使命
- 关于信息保障技术框架(IATF),下列哪种说法是错误的? A.IATF强调深度防御(Defense-in-Depth),关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障;
B. IATF强调深度防御(Defense-in-Depth),即对信息系统采用多层防护,实现组织的业务安全运作
C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全;
D. IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全
-
依据国家标准GB/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)是从信息系统安全保障____的角度来描述的信息系统安全保障方案。 A.建设者 B.所有者 C.评估者 D.制定者
-
以下关于信息系统安全保障是主观和客观的结合说法错误的是:
A.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。
B.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全
C.是一种通过客观证据向信息系统所有者提供主观信心的活动 D.是主观和客观综合评估的结果;
- 信息系统保护轮廓(ISPP)定义了__.
A. 某种类型信息系统的与实现无关的一组系统级安全保障要求 B. 某种类型信息系统的与实现相关的一组系统级安全保障要求 C. 某种类型信息系统的与实现无关的一组系统级安全保障目的 D. 某种类型信息系统的与实现相关的一组系统级安全保障目的
- 以下对PPDR模型的解释错误的是:
A.该模型提出以安全策略为核心,防护、检测和恢复组成一个完整的,
B.该模型的一个重要贡献是加进了时间因素,而且对如何实现系统安全状态给出了操作的描述
C.该模型提出的公式1:Pt>Dt+Rt,代表防护时间大于检测时间加响应时间
D.该模型提出的公式1:Pt=Dt+Rt,代表防护时间为0时,系统检测时间等于检测时间加响应时间
- 以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项作内容之一?
A.提高信息技术产品的国产化率 B.保证信息安全资金投入& C.加快信息安全人才培养
D.重视信息安全应急处理工作
-
谁首先提出了扩散-混淆的概念并应用于密码学领域? A. 香农 B. Shamir C. Hellman D. 图灵
-
以下哪些问题、概念不是公钥密码体制中经常使用到的困难问题? A.大整数分解 B.离散对数问题 C.背包问题
D.伪随机数发生器
- 下列关于kerckhofff准则的合理性阐述中,哪一项是正确的? A. 保持算法的秘密比保持密钥的秘密性要困难得多 B. 密钥一旦泄漏,也可以方便地更换
C. 在一个密码系统中,密码算法是可以公开的,密钥应保证安全 D. 公开的算法能够经过更严格的安全性分析
- 以下关于RSA算法的说法,正确的是: A. RSA不能用于数据加密 B. RSA只能用于数字签名 C. RSA只能用于密钥交换
D. RSA可用于加密,数字签名和密钥交换体制
- Hash算法的碰撞是指:
A. 两个不同的消息,得到相同的消息摘要 B. 两个相同的消息,得到不同的消息摘要 C. 消息摘要和消息的长度相同 D. 消息摘要比消息的长度更长
- 下列哪种算法通常不被用于保证机密性? A. AES B. RC4
C. RSA D. MD5
-
数字证书的功能不包括: A. 加密 B. 数字签名 C. 身份认证 D. 消息摘要
-
下列哪一项是注册机构(RA)的职责? A.证书发放 B.证书注销
C.提供目录服务让用户查询 D.审核申请人信息
- IPsec工作模式分别是: A. 一种工作模式:加密模式
B. 三种工作模式:机密模式、传输模式、认证模式 C. 两种工作模式:隧道模式、传输模式 D. 两种工作模式:隧道模式、加密模式
- 下列哪些描述同SSL相关?
A. 公钥使用户可以交换会话密钥,解密会话密钥并验证数字签名的真实性 B. 公钥使用户可以交换会话密钥,验证数字签名的真实性以及加密数据 C. 私钥使用户可以创建数字签名,加密数据和解密会话密钥。 19. 下列关于IKE描述不正确的是: A. IKE可以为IPsec协商关联
B. IKE可以为RIPV2\OSPPV2等要求保密的协议协商安全参数 C. IKE可以为L2TP协商安全关联
D. IKE可以为SNMPv3等要求保密的协议协调安全参数
-
下面哪一项不是VPN协议标准? A. L2TP B. IPSec C. TACACS D. PPTP
-
自主访问控制与强制访问控制相比具有以下哪一个优点? A.具有较高的安全性 B.控制粒度较大 C.配置效率不高
D.具有较强的灵活性
- 以下关于Chinese Wall模型说法正确的是
A. Bob 可以读银行a的中的数据,则他不能读取银行c中的数据 B. 模型中的有害客体是指会产生利益冲突,不需要限制的数据
C. Bob 可以读银行a的中的数据,则他不能读取石油公司u中的数据
D. Bob 可以读银行a的中的数据,Alice可以读取银行b中的数据,他们都能读取在油公司u中的数据,由则Bob 可以往石油公司u中写数据
- 以下关于BLP模型规则说法不正确的是: A. BLP模型主要包括简单安全规则和*-规则 B. *-规则可以简单表述为下写
C.主体可以读客体,当且仅当主体的安全级可以支配客体的安全级,且主体对该客体具有自主型读权限
D.主体可以读客体,当且仅当客体的安全级可以支配主体的安全级,且主体对该客体具有自主型读权限
- 以下关于RBAC模型说法正确的是:
A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限 B.一个用户必须扮演并激活某种角色,才能对一个象进行访问或执行某种操作 C.在该模型中,每个用户只能有一个角色
D.在该模型中,权限与用户关联,用户与角色关联
- 下列对常见强制访问控制模型说法不正确的是: A. BLP影响了许多其他访问控制模型的发展
B. Clark-Wilson模型是一种以事物处理为基本操作的完整性模型 C. Chinese Wall模型是一个只考虑完整性的安全策略模型
D.Biba模型是一种在数学上与BLP模型对偶的完整性保护模型
- 访问控制的主要作用是:
A. 防止对系统资源的非授权访问 B. 在安全事件后追查非法访问活动 C. 防止用户否认在信息系统中的操作 D. 以上都是
- 作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型? A.自主访问控制(DAC) B.强制访问控制(MAC)
C.基于角色访问控制(RBAC) D.最小特权(LEAST Privilege)
- 下列对kerberos协议特点描述不正确的是:
A. 协议采用单点登录技术,无法实现分布式网络环境下的认证— B. 协议与授权机制相结合,支持双向的身份认证
C. 只要用户拿到了TGT并且TGT没有过期,就可以使用该TGT通过TGS完成到任一个服
务器的认证而不必重新输入密码
D. AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全
- 以下对单点登录技术描述不正确的是:
A.单点登录技术实质是安全凭证在多个用户之间的传递或共享
B.使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用 C.单点登录不仅方便用户使用,而且也便于管理 D.使用单点登录技术能简化应用系统的开发
- 下列对标识和鉴别的作用说法不正确的是: A. 它们是数据源认证的两个因素
B. 在审计追踪记录时,它们提供与某一活动关联的确知身份 C. 标识与鉴别无法数据完整性机制结合起来使用
D. 作为一种必要支持,访问控制的执行依赖于标识和鉴别确知的身份
-
下面哪一项不属于集中访问控制管理技术? A. RADIUS B. TEMPEST C. TACACS D. Diameter
-
安全审计是系统活动和记录的独立检查和验证,以下哪一项不是审计系统的作用? A.辅助辨识和分析未经授权的活动或攻击 B.对与已建立的安全策略的一致性进行核查 C.及时阻断违反安全策略的致性的访问 D.帮助发现需要改进的安全控制措施
-
下列对蜜网关键技术描述不正确的是:
A. 数据捕获技术能够检测并审计黑客的所有行为数据
B. 数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动,使用工具及其意图
C. 通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全 D. 通过数据控制、捕获和分析,能对活动进行监视、分析和阻止
-
以下哪种无线加密标准中哪一项的安全性最弱? A.Wep B.wpa C. wpa2 D.wapi
-
路由器的标准访问控制列表以什么作为判别条件? A. 数据包的大小 B. 数据包的源地址
-
信息
D. 安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等 35. 在关系型数据库系统中通过“视图(view)”技术,可以实现以下哪一种安全原则? A. 纵深防御原则 B. 最小权限原则 C. 职责分离原则
D. 安全性与便利性平衡原则
-
数据库事务日志的用途是什么? A. 事务处理 B. 数据恢复 C. 完整性约束 D. 保密性控制
-
下面对于cookie的说法错误的是:
A. cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息 B. cookie可以存储一些敏感的用户信息,从而造成一定的安全风险
C. 通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做 cookie欺骗
D. 防范cookie欺骗的一个有效方法是不使用cookie验证方法,而使用session验证方法
-
攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞? A. 缓冲区溢出 B. SQL注入 C. 设计错误 D. 跨站脚本
-
通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在? A. 明文形式存在
B. 服务器加密后的密文形式存在 C. hash运算后的消息摘要值存在 D. 用户自己加密后的密文形式存在
40.下列属于DDOS攻击的是: A. Men-in-Middle攻击 B. SYN洪水攻击 C. TCP连接攻击 D. SQL注入攻击
41.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击? A. 重放攻击 B. Smurf攻击 C. 字典攻击
D. 中间人攻击
- 渗透性测试的第一步是: A. 信息收集
B. 漏洞分析与目标选定 C. 拒绝服务攻击 D. 尝试漏洞利用
- 通过网页上的钓鱼攻击来获取密码的方式,实质上是一种: A. 社会工程学攻击 B. 密码分析学 C. 旁路攻击
D. 暴力破解攻击
44.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法? A. 加强软件的安全需求分析,准确定义安全需求 B. 设计符合安全准则的功能、安全功能与安全策略 C. 规范开发的代码,符合安全编码规范
D. 编制详细软件安全使用手册,帮助设置良好的安全使用习惯
45.根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中____确立安全解决方案的置信度并且把这样的置信度传递给客户。 A. 保证过程 B. 风险过程
C. 工程和保证过程 D. 安全工程过程
46.下列哪项不是SSE-CMM模型中工程过程的过程区? A. 明确安全需求 B. 评估影响 C. 提供安全输入 D. 协调安全
- SSE-CMM工程过程区域中的风险过程包含哪些过程区域? A. 评估威胁、评估脆弱性、评估影响 B. 评估威胁、评估脆弱性、评估安全风险
C. 评估威胁、评估脆弱性、评估影响、评估安全风险 D. 评估威胁、评估脆弱性、评估影响、验证和证实安全
48.在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标: A. 防止出现数据范围以外的值 B. 防止出现错误的数据处理顺序 C. 防止缓冲区溢出攻击
D. 防止代码注入攻击
49.信息安全工程监理工程师不需要做的工作是: A.编写验收测试方案 B.审核验收测试方案 C.监督验收测试过程 D.审核验收测试报告
- 下面哪一项是监理单位在招标阶段质量控制的内容? A. 协助建设单位提出工程需求,确定工程的整体质量目标
B. 根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需求部分 C. 进行风险评估和需求分析完成招标文件中的技术需求部分
D. 对标书应答的技术部分进行审核,修改其中不满足安全需求的内容 52. 信息安全保障强调安全是动态的安全,意味着: A. 信息安全是一个不确定性的概念 B. 信息安全是一个主观的概念
C. 信息安全必须覆盖信息系统整个生命周期,随着安全风险的变化有针对性的进行调整 D. 信息安全只能是保证信息系统在有限物理范围内的安全,无法保证整个信息系统的安全 53.关于信息保障技术框架(IATF),下列说法错误的是:
A. IATF强调深度防御,关注本地计算环境,区域边界,网络和基础设施,支撑性基础设施等多个领域的安全保障;
B.IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作 C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全
D. IATF强调的是以安全监测、漏洞监测和自适用填充“安全间隙”为循环来提高网络安全 54.下面哪一项表示了信息不被非法篡改的属性? A. 可生存性 B. 完整性 C.准确性
D.参考完整性
- 以下关于信息系统安全保障是主观和客观的结合说法最准确的是: A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理,安全工程和人员安全等,以全面保障信息系统安全
B.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。
C. 是一种通过客观证据向信息系统评估者提供主观信心的活动 D. 是主观和客观综合评估的结果
56 公钥密码算法和对称密码算法相比,在应用上的优势是: A. 密钥长度更长 B. 加密速度更快 C. 安全性更高
D. 密钥管理更方便
- 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换? A. DSS
B. Diffse-Hellman
C. RSA& D AES
- 目前对MD5,SHA1算法的攻击是指:
A. 能够构造出两个不同的消息,这两个消息产生了相同的消息摘要
B. 对于一个已知的消息摘要,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要。
C.对于一个已知的消息摘要,能够恢复其原始消息
D. 对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证。 59 DSA算法不提供以下哪种服务? A. 数据完整性 B. 加密& C. 数字签名 D. 认证
60.关于PKI/CA证书,下面哪一种说法是错误的:
A. 证书上具有证书授权中心的数字签名
B. 证书上列有证书拥有者的基本信息
C. 证书上列有证书拥有者的公开密钥
D. 证书上列有证书拥有者的秘密密钥&
61 认证中心(CA)的核心职责是_________?
A. 签发和管理数字证书
B. 验证信息
C. 公布黑名单
D. 撤销用户的证书
62 下列哪一项是虚拟专用网络(VPN)的安全功能? A. 验证,访问控制和密码 B. 隧道,防火墙和拨号 C. 加密,鉴别和密钥管理 D. 压缩,解密和密码
63 以下对Kerberos协议过程说法正确的是:
A. 协议可以分为两个步骤:一是用户身份鉴别:二是获取请求服务 B. 协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务
C. 协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可票据
D. 协议可以分为三个步骤:一是获得票据许可票据;二是获得服务许可票据;三是获得服务
64 在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性。以下哪一层提供了保密性、身份鉴别、数据完整性服务?
A. 网络层 B. 表示层 C. 会话层 D. 物理层
65 以下哪种无线加密标准的安全性最弱? A .Wep B Wpa
C Wpa2 D Wapi
66.Linux系统的用户信息保存在passwd中,某用户条目
backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的是: A. backup账号没有设置登录密码&
B. backup账号的默认主目录是/var/backups C. Backup账号登录后使用的shell是、bin/sh D. Backup账号是无法进行登录
67 以下关于lixun超级权限的说明,不正确的是:
A. 一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成 B. 普通用户可以通过su和sudo来获得系统的超级权限
C. 对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行 D. Root是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限
68 在WINDOWS操作系统中,欲限制用户无效登录的次数,应当怎么做? A. 在“本地安全设置”中对“密码策略”进行设置 B. 在“本地安全设置”中对“账户锁定策略”进行设置 C. 在“本地安全设置”中对“审核策略”进行设置
D. 在“本地安全设置”中对“用户权利指派”进行设置
69.以下对WINDOWS系统日志的描述错误的是:
A. windows系统默认的由三个日志,系统日志,应用程序日志,安全日志
B.系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障。
C.应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息
D. 安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等
70 以下关于windows SAM(安全账户管理器)的说法错误的是:
A. 安全账户管理器(SAM)具体表现就 是%SystemRoot%\system32\config\sam
B. 安全账户管理器(SAM)存储的账号信息是存储在注册表中
C. 安全账户管理器(SAM)存储的账号信息对administrator和system是可读和可写的
D. 安全账户管理器(SAM)是windows的用户数据库,系统进程通过Security Accounts Manager服务进行访问和操作
71 在关系型数据库系统中通过“视图(view)”技术,可以实现以下哪一种安全原则?
A.纵深防御原则
B.最小权限原则
C.职责分离原则
D.安全性与便利性平衡原则
78.数据库事务日志的用途是:
A. 事务处理 B.数据恢复 C.完整性约束 D.保密性控制
- 下面对于cookie的说法错误的是:
A. cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息。
B. cookie可以存储一些敏感的用户信息,从而造成一定的安全风险
C.通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗
D.防范cookie欺骗的一个有效方法是不使用cookie验证方法,而使用session验证方法。