CISP练习题A资源-CSDN文库

CISP

需积分: 21 70 浏览量 2019-03-12 13:37:53 上传评论收藏 320KB PDF 举报

资源推荐

资源详情

资源评论

保密注册信息安全专业人员考试模拟考试试卷

注册信息安全专业人员考试

模拟考试试卷（A）

（时间：

120

分钟数量：

100

题题型：单选题，将正确答案填写在表格中）

姓名单位名称得分

题号

答案

题号

答案

题号

答案

题号

答案

题号

答案

100

保密注册信息安全专业人员考试模拟考试试卷

1. 依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，

安全保障目的指的是：

A、信息系统安全保障目的

B、环境安全保障目的

C、信息系统安全保障目的和环境安全保障目的

D、信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全

保障目的

答案：D

解释：GB/T 20274 信息系统保障评估框架从管理、技术、工程和总体方面进行评估。

2. 以下哪一项是数据完整性得到保护的例子?

A．某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以

完成操作

B．在提款过程中 ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了

冲正操作

C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行

了什么操作

D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业

间谍无法查看

答案：B

解释：A 为可用性，B 为完整性，C 是抗抵赖，D 是保密性。冲正是完整性纠正措施，

是 Clark-Wilson 模型的应用，解决数据变化过程的完整性。

3. 进入 21 世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网

络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相

同，以下说法不正确的是：

A．与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点

B．美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能

由不同政府部门的多个机构共同承担

C．各国普遍重视信息安全事件的应急响应和处理

D．在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政

府与企业之间的合作关系

答案：B

解释：美国已经设立中央政府级的专门机构。

4. 与 PDR 模型相比，P2DR 模型多了哪一个环节?

A．防护 B．检测 C．反应 D.策略

答案：D

解释：PPDR 是指策略、保护、检测和反应（或响应）。PPDR 比 PDR 多策略。

5. 以下关于项目的含义，理解错误的是：

A．项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提

供独特的产品、服务或成果而进行的一次性努力。

B. 项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。

保密注册信息安全专业人员考试模拟考试试卷

C．项目资源指完成项目所需要的人、财、物等。

D．项目目标要遵守 SMART 原则，即项目的目标要求具体 (Specific)、可测量

（Measurable)、需相关方的一致同意(Agreeto)、现实(Realistic)、有一定的

时限(Timeoriented)

答案：B

解释：据项目进度不能随机确定，需要根据项目预算、特性、质量等要求进行确定。

6. 2008 年 1 月 2 日，美目发布第 54 号总统令，建立国家网络安全综合计划

（Comprehensive National Cyber security Initiative，CNCI)。CNCI 计划建立三

道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；

第三道防线，强化未来安全环境．从以上内容，我们可以看出以下哪种分析是正确的：

A．CNCI 是以风险为核心，三道防线首要的任务是降低其网络所面临的风险

B. 从 CNCI 可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的

C．CNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在

现在的网络基础上修修补补

D．CNCI 彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保

障重点，而是追求所有网络和系统的全面安全保障

答案：A

解释：CNCI 第一个防线针对漏洞进行风险控制，第二个防线针对威胁进行风险控制，

总体的目标是降低网络风险。B、C、D 答案均无法从题干反应。

7. 下列对于信息安全保障深度防御模型的说法错误的是：

A．信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部

分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约

下。

B．信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全

管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我

们需要采用信息系统工程的方法来建设信息系统。

C．信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安

全保障的重要组成部分。

D．信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。

答案：D

解释：D 的正确描述是从内而外，自上而下，从端到边界的防护能力。

8. 某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪

一类：

A．个人网银系统和用户之间的双向鉴别

B．由可信第三方完成的用户身份鉴别

C. 个人网银系统对用户身份的单向鉴别

D．用户对个人网银系统合法性的单向鉴别

答案：C

解释：题干为网银系统对用户的鉴别。

9. Alice 用 Bob 的密钥加密明文，将密文发送给 Bob。Bob 再用自己的私钥解密，恢复

保密注册信息安全专业人员考试模拟考试试卷

出明文。以下说法正确的是：

A．此密码体制为对称密码体制

B．此密码体制为私钥密码体制

C．此密码体制为单钥密码体制

D．此密码体制为公钥密码体制

答案：D

解释：题干中使用到了私钥解密，私钥是公钥密码体制中用户持有的密钥，相对于公

钥而言，则为非对称密码体制，非对称密码体制又称为公钥密码体制。

10. 下列哪一种方法属于基于实体“所有”鉴别方法：

A．用户通过自己设置的口令登录系统，完成身份鉴别

B．用户使用个人指纹，通过指纹识别系统的身份鉴别

C．用户利用和系统协商的秘密函数，对系统发送挑战进行正确应答，通过身份鉴别

D．用户使用集成电路卡(如智能卡)完成身份鉴别

答案：D

解释：实体所有鉴别包括身份证、IC 卡、钥匙、USB-Key 等。

11. 为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡

+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?

A．实体“所知”以及实体“所有”的鉴别方法

B．实体“所有”以及实体“特征”的鉴别方法

C．实体“所知”以及实体“特征”的鉴别方法

D．实体“所有”以及实体“行为”的鉴别方法

答案：A

解释：题目中安全登录会涉及到账号密码为实体所知，智能卡和短信是实体所有。

12. 某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件

进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还

需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源

代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?

A. 渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的

漏洞

B．渗透测试是用软件代替人工的一种测试方法，因此测试效率更高

C．渗透测试使用人工进行测试，不依赖软件，因此测试更准确

D．渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多

答案：A

解释：渗透测试是模拟攻击的黑盒测试，有利于发现系统明显的问题。

13. 软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误

的?

A．告诉用户需要收集什么数据及搜集到的数据会如何披使用

B．当用户的数据由于某种原因要被使用时，给用户选择是否允许

C．用户提交的用户名和密码属于稳私数据，其它都不是

D．确保数据的使用符合国家、地方、行业的相关法律法规

保密注册信息安全专业人员考试模拟考试试卷

答案：C

解释：个人隐私包括但不限于用户名密码、位置、行为习惯等信息。

14. 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提

下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成

的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：

A.在软件立项时考虑到软件安全相关费用，经费中预留了安全测试、安全评审相关费

用，确保安全经费得到落实

B．在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现

架构设计中存在的安全不足

C．确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确

保开发人员编写出安全的代码

D．在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测

试，未经以上测试的软件不允许上线运行

答案：D

解释：软件的安全测试根据实际情况进行测试措施的选择和组合。

15. 以下哪一项不是工作在网络第二层的隧道协议：

A.VTP B．L2F C．PPTP D．L2TP

答案：A

解释：L2F、PPTP、L2TP 均为二层隧道协议。

16. 主体 S 对客体 01 有读(R)权限，对客体 02 有读(R)、写(W)、拥有(Own)权限，该访问

控制实现方法是：

A．访问控制表(ACL)

B．访问控制矩阵

C．能力表(CL)

D．前缀表(Profiles)

答案：C

解释：定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。

17. 以下场景描述了基于角色的访问控制模型(Role-based Access Control．RBAC)：根

据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负

责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC 模型，

下列说法错误的是：

A．当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围

内，访问请求将被拒绝

B．业务系统中的岗位、职位或者分工，可对应 RBAC 模型中的角色

C．通过角色，可实现对信息资源访问的控制

D．RBAC 模型不能实现多级安全中的访问控制

答案：D

解释：RBAC 模型能实现多级安全中的访问控制。

18. 下面哪一项不是虚拟专用网络(VPN)协议标准：

剩余22页未读，继续阅读

评论收藏

内容反馈

weixin_41685978

粉丝: 6
资源: 34

CISP练习题A

网络与信息安全认证CISP试题及答案__【A-G】千道题库汇总版(WPL整理版)V4).docx

CISP练习题2018版

cisp模拟考试系统

cisp习题 cisp习题 cisp习题 最新

CISP模拟考试题及答案

CISP_PTE练习题docker环境

CISP全套考试题目带答案

CISP-PTE模拟练习网站源码.zip

cisp-pte渗透测试资源下载 （考试环境+题库）

cisp试题700道(带答案)

CISP考试练习题库

CISP重点练习题

CISP模拟考试试题

CISP复习资料

CISP模拟考试系统

闪耀盒子，cisp模拟练习系统

历年的CISP试题及答案

CISP2019最新练习题.rar

CISP-PTE渗透测试工程师知识体系大纲 （很全）

cisp-pte考试环境下载-原题 题库

cisp-pte考试环境下载-原题 题库.txt

CISP-PTE知识体系大纲

CISP-PTE知识体系大纲.pdf

CISP学习资料

CISP培训资料

CISP模拟题6套pdf

CISP培训教程

CISP试题及答案(整理版).docx

CISP练习题B

vulawdhub:该项目是利用docker技术创建的有漏洞的cms环境集合，可以进行练习

最新资源

cisp习题 cisp习题 cisp习题最新

cisp-pte渗透测试资源下载（考试环境+题库）

CISP-PTE渗透测试工程师知识体系大纲（很全）

cisp-pte考试环境下载-原题题库

cisp-pte考试环境下载-原题题库.txt