CISP考试认证(习题卷35)
说明:答案和解析在试卷最后
第1部分:单项选择题,共92题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]银行柜员的访问控制策略实施以下的哪一种?
A)基于角的策略。
B)基于身份的策略。
C)基于用户的策略。
D)基于规则政策。
2.[单选题]对于信息安全管理,风险评估的方法比起基线的方法,主要的优势在于它确保
A)信息资产被过度保护
B)不考虑资产的价值,基本水平的保护都会被实施
C)对信息资产实施适当水平的保护
D)对所有信息资产保护都投入相同的资源
3.[单选题]面哪种方法产生的密码是最难记忆的?
A)将用户的生日倒转或是重排
B)将用户的年薪倒转或是重排
C)将用户配偶的名字倒转或是重排
D)用户随机给出的字母
4.[单选题]61.漏洞扫描是信息系统风险评估中的常用技术措施,定期的漏洞扫描有助于组织机构发现系统中存在集公司安全漏洞。漏洞扫描软件是实施漏洞扫描的工具,用于测试网络、操作系统、数据库及应用软件是否存在漏洞。某公司安全管理组成员小李对漏洞扫描技术和工具进行学习后有如下理解,其中错误的是()
A)A主动扫描工作方式类似于IDS(IntrusionDetectionSystems)
B)CVE(CommonVulnerabilities&Exposures)为每个漏洞确定了唯一的名称和标准化的描述
C)X.Scanner采用多线程方式对指定IP地址段进行安全漏洞扫描
D)ISS的SystemScanner通过依附于主机上的扫描器代理侦测主机内部的漏洞
5.[单选题]下列哪类工具是日常用来扫描web漏洞的工具?
A)NMAP
B)IBM APPSCAN
C)X-SCAN
D)Nessus
6.[单选题]全球物联网将朝着( )、( ) 和( ) 的方向发展, 同时以( ) 将是全球各国的主要发展方向。 物联网涉及感知、 控制、 网络通信、 微电子、 计算机、 软件、 嵌入式系统、 微机电等技术领域, 因此物联网涵盖的关键技术非常多, 其主要技术架构可分为感知层、 ( )、 ( ) 和( ) 四个层次。
A)规模化; 协同化、 智能化; 带动物联网产业; 传输层; 支撑层;应用层
B)规模化, 协同化、 智能化: 物联问应用带动物联网产业, 传输层,文排层, 应用层
C)规模化; 协同化、 智能化; 物联网应用; 传输层; 支撑层; 应用层
D)规模化; 协同化、 智能化; 物联网应用; 同步层; 支撑层; 应用层
7.[单选题]对抗监测技术是恶意代码实现自身保护的重要机制。主要采用的是反调试技术。反调试技术可以分为动态反调试和静态反调试。以下哪项属于动态反调试技术()
A)加壳
B)代码混淆
C)禁止跟踪中断
D)加密
8.[单选题]随着“互联网+”概念的普及,越来越多的新兴住宅小区引入了“智能楼宇”的理念,某物业 为提供高档次的服务,防止网络主线路出现故障,保证小区内网络服务的可用,稳定、高效, 计划通过网络冗余配置确保智能楼宇系统的正常运转,下列选项不属于冗余配置的是()
A)接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响
B)核心层、汇聚层的设备和重要的接入层设备均应双机设备
C)规划网络 IP 地址,制定网络 IP 地址分配策略
D)保证网络带宽和网络设备的业务处理能力具务冗余空间,满足业务高峰期和业务发展需求
9.[单选题]下列哪一项准确地描述了可信计算基(TCB)?
A)TCB只作用于固件(Firmware)
B)TCB描述了一个系统提供的安全级别
C)TCB描述了一个系统内部的保护机制
D)TCB通过安全标签来表示数据的敏感性
10.[单选题]VPN的加密手段为( )?linux认证考试费用
A)具有加密功能的防火墙
B)具有加密功能的路由器
C)VPN内的各台主机对各自的信息进行相应的加密
D)单独的加密设备
11.[单选题]以下对Kerberos协议过程说法正确的是:()
A)协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务
B)协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务
C)协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可票据
D)协议可以分为三个步骤:一是获得票据许可票据;二是获得服务许可票据;三是获得服务
12.[单选题]下列哪些选项不属于NIDS 的常见技术?
A)协议分析
B)零拷贝
C)SYNCookie
D)IP 碎片从重组
13.[单选题]信息安全工程监理是信息系统工程监理的重要组成部分,信息安全工程监理适用的信息化工程中,以下选项最合适的是:
A)通用布缆系统工程
B)电子设备机房系统工程
C)计算机网络系统工程
D)以上都适用
14.[单选题]/etc/passwd文件是UNIX/Linux安全的关键是文件之一,该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户ID(UID)、默认的用户分组ID(GID)、用户信息、用户登录目录以及登录后使用的shell程序。某黑客设法窃取了银行账户管理系统的passwd文件后,发现每个用户的加密口令数据项都是显示为X,下列选项中,对此现象的解释正确的是()
A)黑客窃取的passwd文件是假的
B)用户的登录口令经过不可逆转的加密算法加密结果为X
C)加密口令被转移到了另一个文件里
D)这些账户都被禁用了
15.[单选题]下列哪一项最好地支持了24/7可用性?
A)日常备份
B)离线存储
C)镜像
D)定期测试
16.[单选题]访问控制的实施一般包括两个步骤,首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予相应用户的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,你认为那个是正确的:()
A)1 是主体,2 是客体,3 是实施,4 是决策
B)1 是客体,2 是主体 3 是决策,4 是实施
C)1 实施,2 是客体 3 是主题,4 是决策
D)1 是主体,2 是实施 3 是客体,4 是决策
17.[单选题]应急响应时信息安全事件管理的重要内容之一。关于应急响应工作,下面描述错误的是()
A)信息安全应急响应,通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施,既包括
预防性措施,也包括事业发生后的应对措施
B)应急响应工作有其鲜明的特点:具体高技术复杂性与专业性、强突发性、对知识经验的高依赖性,以及需要广泛的协调与合作
C)应急响应时组织在处置应对突发/重大信息安全事件时的工作,其主要包括两部分工作: 安全事件发生时正确指挥、事件发生后全面总结
D)应急响应工作的起源和相关机构的成立和 1988 年 11 月发生的莫里斯蠕虫病毒事件有关,基于该事件,人们更加重视安全事件的应急处理和整体协调的重要性
18.[单选题]ApacheHttpServer(简称Apache)是一个开放源码的Web服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发,为隐藏这些信息,应当采取以下哪种措施()
A)安装后,修改访问控制配置文件
B)安装后,修改配置文件Http.Conf中的有关参数
C)安装后,删除ApacheHttpServer源码
D)从正确的下载ApacheHttpServer,并安装使用
19.[单选题]根据相关标准,信息安全风险管理可分为背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询等阶段。按照该框架,文档《风险分析报告》应属于哪个阶段的输出成果
A)风险评估
B)风险处理
C)批准监督
D)监控审查
20.[单选题]下面____不可能存在于基于网络的漏洞扫描器中。
A)A 漏洞数据库模块
B)B 扫描引擎模块
C)C 当前活动的扫描知识库模块
D)D 阻断规则设置模块
21.[单选题]namp SYN扫描参数
A)-sP
B)-sT
C)-sS
D)-sU
22.[单选题]建立ISMS的步骤正确的是?
A)明确ISMS范围-确定ISMS策略-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)
B)定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)-确定ISMS策略
C)确定ISMS策略-明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)
D)明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-确定ISMS策略-设计ISMS文件-进行管理者承诺(审批)
23.[单选题]时间戳的引入主要是为了防止:
A)死锁
B)丢失
C)重放
D)拥塞
24.[单选题]关于《网络安全法》域外使用效力的理解,以下哪项是错误的
A)当前对于的网络攻击,我国只能通过向来源国采取抗议
B)对于来自的网络安全威胁我国可以组织技术力量进行监测、防御和处置
C)对于来自的违法信息我国可以加以阻断传播
D)对于来自的网络攻击我国可以追究其法律责任
25.[单选题]如图一所示:主机 A 和主机 B 需要通过 IPSec 隧道模式保护二者之间的通信流量, 这种情况下 IPSec 的处理通常发生在哪二个设备中?( )
class="fr-fic fr-fil fr-dib cursor-hover"
A)主机 A 和安全网关 1;
B)主机 B 和安全网关 2;
C)主机 A 和主机 B 中;
D)安全网关 1 和安全网关 2 中;
26.[单选题]若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T 22080 标准要求,其信息安全控制措施通常需要在资产管理方面实施常规控制,资产管理包含对资产负责和信息分类两个控制目标,信息分类控制的目标是为了确保信息受到适当级别的保护,通常采取以上哪项控制措施( )
A)资产清单
B)资产责任人
C)资产的可接受使用
D)分类指南,信息的标记和处理
27.[单选题]ISMS审核时,对审核发现中,以下哪个是属于严重不符合项?
A)关键的控制程序没有得到贯彻,缺乏标准规定的要求可构成严重不符合项
B)风险评估方法没有按照ISO27005(信息安全风险管理)标准进行
C)孤立的偶发性的且对信息安全管理体系无直接影响的问题;
D)审核员识别的可能改进项
28.[单选题]以下关于PGP(Pretty Good Privacy)软件叙述错误的是:
A)PGP可以实现对邮件的加密、签名和认证
B)PGP可以实现数据压缩
C)PGP可以对邮件进行分段和重组
D)PGP采用SHA算法加密邮件
29.[单选题]部署互联网协议安全虚拟专用网(Internet protocol Security Virtual Private Network,IPsec VPN)时,以下说法正确的是?
A)配置 MD5 安全算法可以提供可靠地数据加密
B)配置 AES 算法可以提供可靠的数据完整性验证
C)部署 IPsec VPN 网络时,需要考虑 IP 地址的规划,尽量在分支节点使用可以聚合的IP 地址段,来减少 IPsec 安全关联(Security Authentication,SA)资源的消耗
D)报文验证头协议(Authentication Header,AH)可以提供数据机密性
30.[单选题]根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定:
A)威胁、脆弱性
B)系统价值、风险
C)信息安全、系统服务安全
D)受侵害的客体、对客体造成侵害的程度业务
31.[单选题]在软件开发的需求定义阶段,在软件测试方面,以下哪一个选项被制定?
A)覆盖关键应用的测试数据
B)详细的安全测试计划
C)质量保证测试标准
D)用户验收测试标准
32.[单选题]下面哪种方法产生的密码是最难记忆的?
A)将用户的生日倒转或是重排
B)将用户的年薪倒转或是重排
C)将用户配偶的名字倒转或是重排
D)用户随机给出的字母
发表评论