2020年注册信息安全专业人员资质认证考试CISP考试真题库及答案

2020年注册信息安全专业人员资质认证考试CISP考试真题库及答案500题1.依据国家标准/T20274信息系统安全保障评估框架，信息系统安全目标(ISST)中，安全保障目的指的是：A、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D、信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的Answer:D解释：GB/T 20274 信息系统保障评估框架从管理、技术、工程和总体方面进行评估。2.以下哪一项是数据完整性得到保护的例子?A某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B在提款过程中ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作C某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看Answer:B解释：A 为可用性，B 为完整性，C 是抗抵赖，D 是保密性。冲正是完整性纠正措施，是Clark-Wilson 模型的应用，解决数据变化过程的完整性。3.进入21 世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：A与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点B美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担C各国普遍重视信息安全事件的应急响应和处理D在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系Answer:B解释：美国已经设立中央政府级的专门机构。4. 与PDR 模型相比，P2DR 模型多了哪一个环节?A防护B检测C反应D.策略Answer:D解释：PPDR 是指策略、保护、检测和反应（或响应）。PPDR 比PDR 多策略。5. 以下关于项目的含义，理解错误的是：A项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。B. 项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。C项目资源指完成项目所需要的人、财、物等。D项目目标要遵守SMART 原则，即项目的目标要求具体(Specific)、可测量（Measurable)、需相关方的一致同意(Agreeto)、现实(Realistic)、有一定的时限(Timeoriented)Answer:B解释：据项目进度不能随机确定，需要根据项目预算、特性、质量等要求进行确定。6. 2008 年1 月2 日，美目发布第54 号总统令，建立国家网络安全综合计划（Comprehensive National Cyber securityInitiative，CNCI)。CNCI 计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境从以上内容，我们可以看出以下哪种分析是正确的：ACNCI 是以风险为核心，三道防线首要的任务是降低其网络所面临的风险B. 从CNCI 可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的CCNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补DCNCI 彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障Answer:A解释：CNCI 第一个防线针对漏洞进行风险控制，第二个防线针对威胁进行风险控制，总体的目标是降低网络风险。B、C、D 答案均无法从题干反应。7. 下列对于信息安全保障深度防御模型的说法错误的是：A信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。保密注册信息安全专业人员考试模拟考试试卷3 / 16C信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。D信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。Answer:D解释：D 的正确描述是从内而外，自上而下，从端到边界的防护能力。8. 某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一类：A个人网银系统和用户之间的双向鉴别B由可信第三方完成的用户身份鉴别C. 个人网银系统对用户身份的单向鉴别D用户对个人网银系统合法性的单向鉴别Answer:C解释：题干为网银系统对用户的鉴别。9. Alice 用Bob 的密钥加密明文，将密文发送给Bob。Bob 再用自己的私钥解密，恢复出明文。以下说法正确的是：A此密码体制为对称密码体制B此密码体制为私钥密码体制C此密码体制为单钥密码体制D此密码体制为公钥密码体制Answer:D解释：题干中使用到了私钥解密，私钥是公钥密码体制中用户持有的密钥，相对于公钥而言，则为非对称密码体制，非对称密码体制又称为公钥密码体制。10. 下列哪一种方法属于基于实体“所有”鉴别方法：A用户通过自己设置的口令登录系统，完成身份鉴别B用户使用个人指纹，通过指纹识别系统的身份鉴别C用户利用和系统协商的秘密函数，对系统发送挑战进行正确应答，通过身份鉴别D用户使用集成电路卡(如智能卡)完成身份鉴别Answer:D解释：实体所有鉴别包括身份证、IC 卡、钥匙、USB-Key 等。11. 为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?A实体“所知”以及实体“所有”的鉴别方法B实体“所有”以及实体“特征”的鉴别方法C实体“所知”以及实体“特征”的鉴别方法D实体“所有”以及实体“行为”的鉴别方法Answer:A解释：题目中安全登录会涉及到账号密码为实体所知，智能卡和短信是实体所有。12. 某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?A. 渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞B渗透测试是用软件代替人工的一种测试方法，因此测试效率更高C渗透测试使用人工进行测试，不依赖软件，因此测试更准确D渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多Answer:A解释：渗透测试是模拟攻击的黑盒测试，有利于发现系统明显的问题。13. 软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误的?A告诉用户需要收集什么数据及搜集到的数据会如何披使用B当用户的数据由于某种原因要被使用时，给用户选择是否允许C用户提交的用户名和密码属于稳私数据，其它都不是D确保数据的使用符合国家、地方、行业的相关法律法规Answer:C解释：个人隐私包括但不限于用户名密码、位置、行为习惯等信息。14. 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失。在以下软件安全开发策略中，不符合软件保密注册信息安全专业人员考试模拟考试试卷4 / 16安全保障思想的是：A.在软件立项时考虑到软件安全相关费用，经费中预留了安全测试、安全评审相关费用，确保安全经费得到落实B在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足C确保对软编码人员进行安全培训，开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码D在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测试，未经以上测试的软件不允许上线运行Answer:D解释：软件的安全测试根据实际情况进行测试措施的选择和组合。15. 以下哪一项不是工作在网络第二层的隧道协议：A.VTP BL2F CPPTP DL2TPAnswer:A解释：L2F、PPTP、L2TP 均为二层隧道协议。16. 主体S 对客体01 有读(R)权限，对客体02 有读(R)、写(W)、拥有(Own)权限，该访问控制实现方法是：A访问控制表(ACL)B访问控制矩阵C能力表(CL)D前缀表(Profiles)Answer:C解释：定义主体访问客体的权限叫作CL。定义客体被主体访问的权限叫ACL。17. 以下场景描述了基于角色的访问控制模型(Role-based Access ControlRBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC 模型，下列说法错误的是：A当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝B业务系统中的岗位、职位或者分工，可对应RBAC 模型中的角色C通过角色，可实现对信息资源访问的控制DRBAC 模型不能实现多级安全中的访问控制Answer:D解释：RBAC 模型能实现多级安全中的访问控制。18. 下面哪一项不是虚拟专用网络(VPN)协议标准：A第二层隧道协议(L2TP)BInternet 安全性(IPSEC)C终端访问控制器访问控制系统(TACACS+)D点对点隧道协议(PPTP)Answer:C解释：TACACS+是AAA 权限控制系统，不属于VPN。19. 下列对网络认证协议Kerberos 描述正确的是：A该协议使用非对称密钥加密机制B密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成C该协议完成身份鉴别后将获取用户票据许可票据D使用该协议不需要时钟基本同步的环境Answer:C解释：A 错误，因为使用对称密码；B 错误，因为密钥分发中心不包括客户机；D 错误，因为协议需要时钟同步。三个步骤：1）身份认证后获得票据许可票据；2）获得服务许可票据；3）获得服务。20. 鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的：A口令B令牌C知识D密码Answer:B解释：令牌是基于实体所有的鉴别方式。21. 在ISO 的OSI 安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?A加密B.数字签名C访问控制D路由控制保密注册信息安全专业人员考试模拟考试试卷5 / 16Answer:B解释：数字签名可以提供抗抵赖、鉴别和完整性。22. 某公司已有漏洞扫描和入侵检测系统(Intrusio