CISP试题及答案

1、1 信息安全发展各阶段中, 下面哪一项是信息安全所面临的主要威胁A 病毒B 非法访问C 信息泄漏D-口令2. 关于信息保障技术框架IATF,下列说法错误的是A IATF 强调深度防御，关注本地计算环境,区域边境，网络和基础设施，支撑性基础设施等多 个领域的安全保障B IATF强调深度防御，针对信息系统采取多重防护，实现组织的业务安全运作.C IATF强调从技术，管理和人等多个角度来保障信息系统的安全D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全3. 美国国家安全局的信息保障技术框架IATF，在描述信息系统的安全需求时将信息系统 分为A 内网和外网两个部分B 本地计算环境、区域边界、网络和基础设施 支撑性基础设施四个部分C 用户终端、服务器、系统软件 网络设备和通信线路 应用软件五个部分D 用户终端、服务器、系统软件 网络设备和通信线路 应用软件、安全防护六个级别4. 下面那一项表示了信息不被非法篡改的属性A 可生存性B 完整性C 准确性D 参考完整性5。以下关于信息系统安全保障是主关和客观的结论说法准确的是A 信息系统安全保障不仅涉及安全技术，还综

2、合参考安全管理安全工程和人员安全等以安 全保障信息系统安全B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其 现有安全保障工作是否满足其安全保障目标的信心C 是一种通过客观保证向信息系统评估者提供主观信心的活动D6、一下那些不属于现代密码学研究A Enigma 密码机的分析频率B C diffie-herrman 密码交换D 查分分析和线性分析7。常见密码系统包含的元素是：A。明文、密文、信道、加密算法、解密算法B。明文，摘要，信道，加密算法,解密算法C。明文、密文、密钥、加密算法、解密算法D。消息、密文、信道、加密算法、解密算法8. 公钥密码的应用不包括：A. 数字签名B。非安全信道的密钥交换C. 消息认证码D. 身份认证9. 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换？A。DSSB。DiffieHellmanC。RSAD. AES 10.目前对 MD5，SHAI 算法的攻击是指：A. 能够构造出两个不同的消息，这两个消息产生了相同的消息摘要B. 对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要C。对于一个已知

3、的消息摘要，能够恢复其原始消息D。对于一个已知的消息，能够构造一个不同的消息摘要，也能通过验证。11 下列对强制访问控制描述不正确的是A 主题对客体的所有访问B 强制访问控制时, 主体和客体分配一个安全属性C 客体的创建者无权控制客体的访问权限D 强制访问控制不可与自主访问控制访客使用12 一下那些模型关注与信息安全的完整性A BIBA 模型和 BELLLAPADULA 模型B belllapadula 模型和 chians well 模型C Biba 模型和 ciark-wllearD ciarkwllear 模型和 chians well 模型13 按照 BLP 模型规则,以下哪种访问才能被授权A Bob的安全级是机密，文件的安全级是机密，Bob请求写该文件B Bob的安全级是机密，文件的安全级是机密，Bob请求读该文件C Alice的安全级是机密，文件的安全级是机密,Alice请求写该文件D Alice的安全级是机密,文件的安全级是机密,Alice请求读该文件14. 在一个使用Chinese Wall模型建立访问控制的消息系统中，-A. 只有访问了 W之后，才可以访问XB。只有访

4、问了 W之后，才可以访问Y和Z中的一个Co无论是否访问W,都只能访问Y和Z中的一个D.无论是否访问W,都不能访问Y或Z15. 以下关于RBAC模型的说法正确的是：A. 该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B. 一个用户必须扮演并激活某种角色才能对一个对象进行访问或执行某种操作C. 在该模型中，每个用户只能有一个角色Do在该模型中，权限与用户关联，用户与角色关联16. 以下对 Kerberos 协议过程说法正确的是：Ao 协议可以分为两个步骤：一是用户身份鉴别；二是获取请求服务B。协助可以分为两个步骤:一是获得票据许可票据；二是获取请求服务C。协议可以分为三个步骤:一是用户身份鉴别；二是获得票据许可票据;三是获得服务许可 票据D。协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得 服务17。基于生物特征的鉴别系统一般使用哪个参数来判断系统的准确度?A. 错误拒绝率B. 错误监测率C. 交叉错判率D. 错误接受率18. 下列对密网功能描述不正确的是:A。可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击B。吸引入侵者来嗅探、攻击，同时不

5、被觉察地将入侵者的活动记录下来C。可以进行攻击检测和实时报警D。可以对攻击活动进行监视、检测和分析19。下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一？A. 数据完整性B. 数据保密性C. 数字签名D. 抗抵赖20。以下哪种方法不能有效保障WLN的安全性A 禁止默认的服务 SSIDB 禁止 SSID 广播C 启用终端与 AP 的双面认证D 启用无线 AP 的-认证测试21。简单包过滤防火墙主要工作在：A. 链接层/网络层B. 网络层/传输层C. 应用层D. 回话层22。以下哪一项不是应用层防火墙的特点？A。更有效的阻止应用层攻击B。工作在OSI模型的第七层C。速度快且对用户透明D。比较容易进行审计23。下面哪一项不是IDS的主要功能?A. 监控和分析用户系统活动B. 统计分析异常活动模式C. 对被破坏的数据进行修复D. 识别活动模式以反映已知攻击24有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的XX来发现入侵事件，这种机制称作：A. 异常检测B。特征检测C。差距分析D. 比对分析25. 以下关于Linux用户和组的描述不正确的是：A. 在linux

6、中，每一个文件和程序都归属于一个特定的“用户”B. 系统中的每一个用户都必须至少属于一个用户组C. 用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组D. Root 是系统的超级用户，无论是否文件和程序的所有者都且有访问权限26. 以下关于linux超级权限的说明，不正确的是：A. 一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户来操作完成B. 普通用户可以通过su和sudo来获取系统的超级权限C. 对系统日志的管理，添加和删除用户等管理工作,必须以root用户登录才能进行Do Root是系统的超级用户，无论是否为文件和程序的所有者都只有访问权限27. 在 windows 操作系统中，欲限制用户无效登录的次数，应当怎么做?Ao 在“本地安全设置中对“密码策略”进行设置B. 在“本地安全设置”中对“账户锁定策略”进行设置Co 在“本地安全设置”中对“审核策略”进行设置Do 在“本地安全设置”中对“用户权利指派”进行设置28. 以下对windows系统日志的描述错误的是：A. Windows 系统默认有三个日志，系统日志、应用程序日志、安全日志B.

7、 系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件X再XX控制器的故 障C. 应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL（动态链接XX）XXXD安全日志跟踪网络入侵事件，大*拒绝服务攻击，口令暴力破解等。29 为了实现数据库的完整性控制，数据库管理员向 提出一组完整行规则来检查数据库中 的数据，完整行规则主要有三部分组成，一下那一个不是完整性规则的内容A 完整新约束条件B 完整新检查机制C 完整新修复机制D 违约处理机制30。数据库事务日志的用途是：A。事务处理B。数据恢复C. 完整性约束D。保密性控制31。攻击者在远程 WEB 页面的 HTML 代码中插入具有恶意目的的数据，用户认为该页面是 可信赖的，但是当浏览器下载该页面,嵌入其中的脚本将被解释执行，这是哪种类型的漏洞？A。缓冲区溢出B. SQL 注入C. 设计错误D. 跨站脚本32. 通常在网站数据库中,用户信息中的密码一项，是以哪种形式存在？A. 明文形式存在B. 服务器加密后的密文形式存在C。Hasn 运算后的消息摘要值存在D。用户自己加密后的密文形式存在33. 下列对跨站脚本攻击（XSS）的描

8、述正确的是：A。XSS 攻击指的是恶意攻击在 WEB 页面里插入恶意代码，当用户浏览该页面时嵌入其中 WEB 页面的代码会被执行，从而达到恶意攻击用户的特殊目的B. XSS攻击是DOOS攻击的一种变种C。XSS 攻击就是 CC 攻击D. XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求迫使HS连接X超出限制，当CPU耗尽，那么网站也就被攻击垮了，从而达到攻击的目的。34. 下列哪种恶意代码不具备“不感染、依附性”的特点？A. 后门B 。门C。木马D. 蠕虫35. 下列关于计算机病毒感染能力的说法不正确的是A 能将自身代码注入到引导区B 能讲自身代码注入到扇区中的文件镜像C 能将自身代码注入文本中并执行D 能将自身文件注入到文档配置版的宏文件中36. Smurf 利用下列哪种协议进行攻击?A. ICMPB. IGMPC. TCPD. UDP37. 如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接受者， 这种情况属于哪一种攻击?A. 重放攻击B. Smurt 攻击C. 字典攻击D. 中间人攻击38。下列哪些措施不是有效的缓冲区溢出的防护措施？A. 使用标

9、准的C语言字符串库进行操作B. 严格验证输入字符串长度C. 过滤不合规则的字符D. 使用第三方安全的字符串库操作39. 下面对PDCA模型的解释不正确的是：A。通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动B。是一种可以应用于信息安全管理活动的持续改进的有效实践方法C。也被称为“戴明环”D。适用于对组织整体活动的优化，不适合单个的过程以及个人40. 风险评估方法的选定在PDCA循环中的哪个阶段完成？A。实施和运行B。保持和改进C。建立D。监视和评审41. 在风险管理准备阶段“建立背景（对象建立）过程中不用设置的是：A. 分析系统的体系结构B. 分析系统的安全环境C. 制定风险管理计划D. 调查系统的技术特性42. 风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过 程。关于这些过程,以下的说法哪一个是正确的？A. 风险分析准备的内容是识别风险的影响和可能性B。风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度C。风险分析的内容是识别风险的影响和可能性D. 风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施43. 下列哪一项准确地描述了脆弱性、威胁、影

《CISP试题及答案》由会员re****.1分享，可在线阅读，更多相关《CISP试题及答案》请在金锄头文库上搜索。