没有合适的资源?快使用搜索试试~ 我知道了~
本文档为CISP练习题A部分,共100道选择题,可用于信息安全从业人员备考
资源推荐
资源详情
资源评论
保密 注册信息安全专业人员考试模拟考试试卷
1
/
23
注册信息安全专业人员考试
模拟考试试卷 (A)
(时间:
120
分钟 数量:
100
题 题型:单选题,将正确答案填写在表格中)
姓名 单位名称 得分
题号
答案
题号
答案
题号
答案
题号
答案
题号
答案
1
21
41
61
81
2
22
42
62
82
3
23
43
63
83
4
24
44
64
84
5
25
45
65
85
6
26
46
66
86
7
27
47
67
87
8
28
48
68
88
9
29
49
69
89
10
30
50
70
90
11
31
51
71
91
12
32
52
72
92
13
33
53
73
93
14
34
54
74
94
15
35
55
75
95
16
36
56
76
96
17
37
57
77
97
18
38
58
78
98
19
39
59
79
99
20
40
60
80
100
保密 注册信息安全专业人员考试模拟考试试卷
2
/
23
1. 依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,
安全保障目的指的是:
A、信息系统安全保障目的
B、环境安全保障目的
C、信息系统安全保障目的和环境安全保障目的
D、信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全
保障目的
答案:D
解释:GB/T 20274 信息系统保障评估框架从管理、技术、工程和总体方面进行评估。
2. 以下哪一项是数据完整性得到保护的例子?
A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以
完成操作
B.在提款过程中 ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了
冲正操作
C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行
了什么操作
D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业
间谍无法查看
答案:B
解释:A 为可用性,B 为完整性,C 是抗抵赖,D 是保密性。冲正是完整性纠正措施,
是 Clark-Wilson 模型的应用,解决数据变化过程的完整性。
3. 进入 21 世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网
络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相
同,以下说法不正确的是:
A.与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点
B.美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能
由不同政府部门的多个机构共同承担
C.各国普遍重视信息安全事件的应急响应和处理
D.在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政
府与企业之间的合作关系
答案:B
解释:美国已经设立中央政府级的专门机构。
4. 与 PDR 模型相比,P2DR 模型多了哪一个环节?
A.防护 B.检测 C.反应 D.策略
答案:D
解释:PPDR 是指策略、保护、检测和反应(或响应)。PPDR 比 PDR 多策略。
5. 以下关于项目的含义,理解错误的是:
A.项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提
供独特的产品、服务或成果而进行的一次性努力。
B. 项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定。
保密 注册信息安全专业人员考试模拟考试试卷
3
/
23
C.项目资源指完成项目所需要的人、财、物等。
D.项 目 目标 要 遵守 SMART 原则, 即 项目 的 目标 要 求具 体 (Specific)、 可 测量
(Measurable)、需相关方的一致同意(Agreeto)、现实(Realistic)、有一定的
时限(Timeoriented)
答案:B
解释:据项目进度不能随机确定,需要根据项目预算、特性、质量等要求进行确定。
6. 2008 年 1 月 2 日 , 美 目 发 布 第 54 号 总 统 令 , 建 立 国 家 网 络 安 全 综 合 计 划
(Comprehensive National Cyber security Initiative,CNCI)。CNCI 计划建立三
道防线:第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁;
第三道防线,强化未来安全环境.从以上内容,我们可以看出以下哪种分析是正确的:
A.CNCI 是以风险为核心,三道防线首要的任务是降低其网络所面临的风险
B. 从 CNCI 可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的
C.CNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状,而不是在
现在的网络基础上修修补补
D.CNCI 彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保
障重点,而是追求所有网络和系统的全面安全保障
答案:A
解释:CNCI 第一个防线针对漏洞进行风险控制,第二个防线针对威胁进行风险控制,
总体的目标是降低网络风险。B、C、D 答案均无法从题干反应。
7. 下列对于信息安全保障深度防御模型的说法错误的是:
A.信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部
分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约
下。
B.信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全
管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我
们需要采用信息系统工程的方法来建设信息系统。
C.信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安
全保障的重要组成部分。
D.信息安全技术方案:“从外而内、自下而上、形成边界到端的防护能力”。
答案:D
解释:D 的正确描述是从内而外,自上而下,从端到边界的防护能力。
8. 某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪
一类:
A.个人网银系统和用户之间的双向鉴别
B.由可信第三方完成的用户身份鉴别
C. 个人网银系统对用户身份的单向鉴别
D.用户对个人网银系统合法性的单向鉴别
答案:C
解释:题干为网银系统对用户的鉴别。
9. Alice 用 Bob 的密钥加密明文,将密文发送给 Bob。Bob 再用自己的私钥解密,恢复
保密 注册信息安全专业人员考试模拟考试试卷
4
/
23
出明文。以下说法正确的是:
A.此密码体制为对称密码体制
B.此密码体制为私钥密码体制
C.此密码体制为单钥密码体制
D.此密码体制为公钥密码体制
答案:D
解释:题干中使用到了私钥解密,私钥是公钥密码体制中用户持有的密钥,相对于公
钥而言,则为非对称密码体制,非对称密码体制又称为公钥密码体制。
10. 下列哪一种方法属于基于实体“所有”鉴别方法:
A.用户通过自己设置的口令登录系统,完成身份鉴别
B.用户使用个人指纹,通过指纹识别系统的身份鉴别
C.用户利用和系统协商的秘密函数,对系统发送挑战进行正确应答,通过身份鉴别
D.用户使用集成电路卡(如智能卡)完成身份鉴别
答案:D
解释:实体所有鉴别包括身份证、IC 卡、钥匙、USB-Key 等。
11. 为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡
+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法?
A.实体“所知”以及实体“所有”的鉴别方法
B.实体“所有”以及实体“特征”的鉴别方法
C.实体“所知”以及实体“特征”的鉴别方法
D.实体“所有”以及实体“行为”的鉴别方法
答案:A
解释:题目中安全登录会涉及到账号密码为实体所知,智能卡和短信是实体所有。
12. 某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件
进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还
需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源
代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
A. 渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的
漏洞
B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高
C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
答案:A
解释:渗透测试是模拟攻击的黑盒测试,有利于发现系统明显的问题。
13. 软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错误
的?
A.告诉用户需要收集什么数据及搜集到的数据会如何披使用
B.当用户的数据由于某种原因要被使用时,给用户选择是否允许
C.用户提交的用户名和密码属于稳私数据,其它都不是
D.确保数据的使用符合国家、地方、行业的相关法律法规
保密 注册信息安全专业人员考试模拟考试试卷
5
/
23
答案:C
解释:个人隐私包括但不限于用户名密码、位置、行为习惯等信息。
14. 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提
下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成
的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是:
A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费
用,确保安全经费得到落实
B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现
架构设计中存在的安全不足
C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确
保开发人员编写出安全的代码
D.在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测
试,未经以上测试的软件不允许上线运行
答案:D
解释:软件的安全测试根据实际情况进行测试措施的选择和组合。
15. 以下哪一项不是工作在网络第二层的隧道协议:
A.VTP B.L2F C.PPTP D.L2TP
答案:A
解释:L2F、PPTP、L2TP 均为二层隧道协议。
16. 主体 S 对客体 01 有读(R)权限,对客体 02 有读(R)、写(W)、拥有(Own)权限,该访问
控制实现方法是:
A.访问控制表(ACL)
B.访问控制矩阵
C.能力表(CL)
D.前缀表(Profiles)
答案:C
解释:定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。
17. 以下场景描述了基于角色的访问控制模型(Role-based Access Control.RBAC):根
据组织的业务要求或管理要求,在业务系统中设置若干岗位、职位或分工,管理员负
责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC 模型,
下列说法错误的是:
A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围
内,访问请求将被拒绝
B.业务系统中的岗位、职位或者分工,可对应 RBAC 模型中的角色
C.通过角色,可实现对信息资源访问的控制
D.RBAC 模型不能实现多级安全中的访问控制
答案:D
解释:RBAC 模型能实现多级安全中的访问控制。
18. 下面哪一项不是虚拟专用网络(VPN)协议标准:
剩余22页未读,继续阅读
资源评论
weixin_41685978
- 粉丝: 6
- 资源: 34
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功