cisp考题汇总1-7.doc

1、 以下哪一项对安全风险的描述是准确的？A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性D、安全风险是指资产的脆弱性被威胁利用的情形2、以下哪些不属于脆弱性范畴？A、黑客攻击B、操作系统漏洞C、应用程序 BUGD、人员的不良操作习惯3、依据信息系统安全保障模型，以下那个不是安全保证对象A、机密性B、管理C、过程D、人员4、系统审计日志不包括以下哪一项？A、时间戳B、用户标识C、对象标识D、处理结果5、TCP 三次握手协议的第一步是发送一个：A、SYN 包B、SCK 包C、UDP 包D、NULL 包6、以下指标可用来决定在应用系统中采取何种控制措施，除了 A、系统中数据的重要性B、采用网络监控软件的可行性C、如果某具体行动或过程没有被有效控制，由此产生的风险等级D、每个控制技术的效率，复杂性和花费8、用户如果有熟练的技术技能且对程序有详尽的了解，就能巧妙的避过安全性程序，对生产程序做出更改。

为防止这种可能，要增强：A、工作处理报告的复查B、生产程序于被单独控制的副本之间的比较C、周期性测试数据的运行D、恰当的责任分割9、程序安全对应用安全有很大的影响，因此安全编程的一个重要环节用软件工程的方法编制程序是保证安全的根本在程序设计阶段，推荐使用的方法有：a 建立完整的与安全相关的程序文件b 严格控制程序库c 正确选用程序开发工具d 制定适当的程序访问控制A. a、b、c、dB. a、b、cC. b、c、dD. b、c10、Chinese Wall 模型的设计宗旨是：A、用户只能访问那些与已经拥有的信息不冲突的信息B、用户可以访问所有的信息C、用户可以访问所有已经选择的信息D、用户不可以访问那些没有选择的信息11、对不同的身份鉴别方法所提供的防止重用攻击的功效从大到小排列：A、仅用口令，口令及各人识别号（PIN） ，口令响应，一次性口令B、口令几个人识别号（PIN）口令响应，一次性口令，仅由口令C、口令响应，一次性口令，口令及个人识别号（PIN） ，仅有口令D、口令响应，口令及个人识别号（PIN） ，一次性口令，仅有口令12、下面那个协议在 TCP/IP 协议的低层起作用？A、SSLB、SKIPC、S-HTTPD、S-PPC13、SSE-CMM，即系统安全工程一能力成熟度模型，它包含五个级别，其中计划和跟踪级着重于A、定义B、计划C、测量D、实施14、UDP 端口扫描的依据是：A、根据扫描对放开房端口返回的信息判断B、根据扫描对方关闭端口返回的信息判断C、综合考虑 A 和 B 的情况进行判断D、既不根据 A 也不根据 B15、企业内部互联网可以建立在企业内部网络上或是互联网上。

以下哪一项控制机制是最不合适于在互联网上建立一个安全企业内部互联网的？A、用户信道加密B、按庄加密的路由器C、安装加密的防火墙D、在私有的网络服务器上实现密码控制机制16、以下的危险情况哪一个不适与数字签名和随机数字有关的？A、伪装B、重复攻击C、密码威胁D、拒绝服务17、安全标志和访问控制策略是由下面哪一个访问控制制度所支持的？A、基于身份的制度B、基于身份认证的制度C、用户指导制度D、强制访问控制制度18、在 OSI 参考模型中有 7 个层次，提供了相应的安全服务来加强信息系统的安全性以下那一层没有提供机密服务？A 、表示层B 、传输层C 、网络层D 、会话层19、下面有关 IPSec 的描述中错误的是？21、 “中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为：A、普密、商密两个级别B、低级和高级两个级别C、绝密、机密、秘密三个级别D、一密、二密、三密、四密四个级别22、除了对访问、处理、程序变更和其他功能进行控制外，为保障系统的安全需要仍需要建立信息审计追踪在一个用来记录非法的系统访问尝试的审计追踪日志中，一般不会包括下列哪项信息？A、授权用户列表B、事件或交易尝试的类型C、进行尝试的终端D、被获取的数据23、帧中继和 X.25 网络是以下哪个选项的一部分？A、电路交换服务B、单元交换服务C、分组交换服务D、专用数字服务24、在分布式开放系统的环境中，以下哪个选项的数据库访问服务提供允许或禁止访问的能力？A 、对话管理服务B 、事务管理服务C 、资源管理服务D 、控制管理服务25、为了阻止网络假冒，最好的方法是：A、回拨技术B、文件加密C、回拨技术加上数据加密D、拨号转移技术26 以下哪一项不能适应特洛伊木马的攻击？A、强制访问控制B、自主访问控制C、逻辑访问控制D、访问控制表27、Secure Sockets Layer(SSL)协议不提供哪个服务？28、以下哪一种人给公司带来最大的安全风险？A 临时工B 咨询人员C．以前员工D．当前员工29、一个公司经常修正其生产过程。

从而造成对处理程序可能会伴随一些改动下列哪项功能可以确保这些改动的影响处理过程，保证它们对系统的影响风险最小？A．安全管理B．变更控制C．问题追踪D．问题升级程序30．应用软件测试的正确顺序是：A、集成测试，单元测试，系统测试，交付测试B．单元测试，系统测试，集成测试，交付测试C．交付测试，单元测试，集成测试，系统测试D．单元测试，集成测试，系统测试，交付测试31、哪个 TCP/IP 指令会得出下面结果？Interface:199.102.30.152Internet Address Physical Address Type199.102.30.152Ao-ee-oo-5b-oe-ac dynamicA、 ARPB、 NetstatC、 TracertD、 Nbtstat32、哪个 TCP/IP 协议能够表明域里哪台是邮件服务器？A、FTPB、nslookupC、tracertD、Telnet33、SMTPl 连接服务器使用端口A、21B、2534、B、事务处理器和存储管理器C、存储管理器和查询处理器D、文件管理器和存储管理器35．SQL 语言可以 在宿主语言中使用，也可以独立地交互式使用。

A.寄宿B.嵌入C.混合D.并行36．下列为对称加密算法的例子为A.RijndaelB.RSAC.Diffie-HellmanD.Knapsack37．下面哪种不是 WINDOWS 2000 安装后默认有的共享？A.C＄B.Ipc＄C.Admin＄D.Systemroot＄38．在 WINDOWS 2000 系统中，用什么命令或工具可以看到系统上开放的端口和进程的对应关系？A.NETSTATB.NET USEC.FPORTD.URLSCAN39．为尽量防止通过浏览网页感染恶意代码，下列做法中错误的是：A.不使用 IE 浏览器，而使用 Opera 之类的第三方浏览器B.关闭 IE 浏览器的自动下载功能C.禁用 IE 浏览器的活动脚本功能D.先把网页保存到本地再浏览40．下列关于病毒和蠕虫的说法正确的是：A.红色代码（CodeRed）是病毒B.Nimda 是蠕虫C.CIH 病毒可以感染 WINDOWS 98 也可以感染 WINDOWS 2000.D.世界上最早的病毒是小球病毒41、D、以上都不是42、下列为非对称加密算法的例子为A.IDEAB.DESC.3 DESD.ELLIPTOC CURVE43．为了有效的完成工作，信息系统安全部门员工最需要以下哪一项技能？A.人际关系技能B.项目管理技能C.技术技能D.沟通技能44．保护轮廓（PP）是下面哪一方提出的安全要求？A.评估方B.开发方C.用户方D.制定标准方45．在执行风险分析的时候，预期年度损失（ALE）的计算是：A.全部损失乘以发生频率B.全部损失费用＝实际替代费用C.单次预期损失乘以发生频率D.资产价值乘以发生频率46．有三种基本的鉴别的方式：你知道什么，你有什么，以及：A.你需要什么B.你看到什么C.你是什么D.你做什么47．以下哪个选项不是信息中心（IC）工作职能的一部分？A.准备最终用户的预算B.选择 PC 的硬件和软件C.保持所有 PC 的硬件和软件的清单D.提供被认可的硬件和软件的技术支持48．49．在最近一次工资数据更新之后，一个未经授权的员工从公司的计算机中心得到了打印的公司数据表，为保证只有经授权的员工才能得到敏感的打印数据，控制手段包括日志和：A.有控制地销毁作废的打印数据B.接收人的签名确认C.对磁盘上的打印输出文件进行访问控制D.敏感打印数据的强制过期日期50．下面哪一个是国家推荐性标准？A.GB/T 18020-1999 应用级防火墙安全技术要求B.SJ/T 30003-93 电子计算机机房施工及验收规范C.GA 243-2000 计算机病毒防治产品评级准则D.ISO/IEC 15408-1999 信息技术安全性评估准则51．为了确定自从上次合法的程序更新后程序是否被非法改变过，信息系统安全审核员可以采用的审计技术是：A.代码比照B.代码检查C.测试运行日期D.分析检查52．在 WINDOWS 2000 系统中，哪个进程是 IIS 服务的进程？A.Inetinfo.exeB.Lsass.exeC.Mstask.exeD.Internat.exe53. 下面哪一个用于电子邮件的鉴别和机密性》A.数字签名B.IPSEC AHC.PGPD.MD454．在某个攻击中，入侵者通过由系统用户或系统管理员主动泄漏的可以访问系统资源的信息，获得系统访问权限的行为被称作：A.社会工程B.非法窃取C.电子欺骗D.电子窃听55．D．A-结束56．CC 的一般模型基于：A.风险管理模型B.Bell lapadula 模型C.PDCA 模型D.PDR 模型57．ITSEC 中的 F1-F5 对应 TCSEC 中哪几个级别？A.D 到 B2B.C2 到 B3C.C1 到 B3D.C2 到 A158．事件响应方法学定义了安全事件处理的流程，这个流程的顺序是：A.准备－抑制－检测－根除－恢复－跟进B.准备－检测－抑制－恢复－根除－跟进C.准备－检测－抑制－根除－恢复－跟进D.准备－抑制－根除－检测－恢复－跟进59．PDR 模型中，下面哪个措施不属于防护(P)措施：A.物理门禁B.防火墙C.入侵检测D.加密60．CC 中的评估保证级（EAL）4 级涵义是：A.结构测试级B.方法测试和校验级C.系统的设计、测试和评审级D.半形式化设计和测试级61．以下哪一项是已经被确认了的具有一定合理性的风险？A.总风险B.最小化风险C.可接受风险D.残余风险62．从风险的观点来看，一个具有任务紧急性，核心功能的计算机应用程序系统的开发和维护项目应该：63．随着全球信息化的发展，信息安全成了网络时代的热点，为了保证我国信息产业的发展与安全，必须加强对信息安全产品、系统、服务的测评认证，中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构，以下对其测评认证工作的错误认识是：A、 测评与认证是两个不同概念，信息安全产品或系统认证需经过申请、测试、评估、认证一系列环节。

B、 认证公告将在一些媒体上定期发布，只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列C、 对信息安全产品的测评认证制度是我国按照 WTO 规则建立的技术壁垒的管理体制D、 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险64．下列哪一项是磁介质上信息擦除的最彻底形式？A 格式化B 消磁C 删除D 破坏65．如果你刚收到一封你同事转发过来的电子邮件，警告你出现了一个可怕的新病毒，你会先做下面哪件事情？A 将这个消息传给你认识的每个人B 用一个可信赖的信息源验证这个消息C 将你的计算机从网络上连接D 升级你的病毒库66．当备份一个应用程序系统的数据时，以下哪一项是应该首先考虑的关键性问题？A 什么时候进行备份。