CISP考试认证(习题卷21)
第1部分:单项选择题,共92题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]Windows操作系统中可显示或修改任意访问控制列表的命令是()
A)ipconfig
B)cacls
C)tasklist
D)systeminfo
答案:B
解析:
2.[单选题]某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,提出了四大培训任务和 目标,关于这四个培训任务和目标,作为主管领导,以下选项中不正确的是()
A)由于网络安全上升到国家安全的高度,因此网络安全必须得到足够的重视,因此安排了对集团公司下属 公司的总经理(一把手)的网络安全法培训
B)对下级单位的网络安全管理岗人员实施全面培训,计划全员通过 CISP 持证培训以确保人员能力得到保障
C)对其他信息化相关人员(网络管理员、软件开发人员)也进行安全基础培训,使相关人员对网络安全有所了解
D)对全体员工安全信息安全意识及基础安全知识培训,实现全员信息安全意识教育
答案:C
解析:
3.[单选题]下列不属于WEB安全性测试的范畴的是
A)客户端内容安全性
B)日志功能
C)服务端内容安全性
D)数据库内容安全性
答案:D
解析:
4.[单选题]安全审计是一种很常见的安全控制措施,它在信息全保障系统中,属于(  )措施。
A)保护
B)检测
C)响应
D)恢复
答案:B
解析:
5.[单选题]在SSE-CMM中对工程过程能力的评价分为三个层次,由宏观到微观依次是
A)能力级别-公共特征(CF)-通用实践(GP)
B)能力级别-通用实践-(GP)-公共特征(CF
C)通用实践-(GP)-能力级别-公共特征(CF)
D)公共特征(CF)-能力级别-通用实践-(GP)
答案:A
解析:
6.[单选题]下面对于信息安全事件分级的说法正确的是?
A)对信息安全事件的分级可以参考信息系统的重要程度、系统----和应急成本三个要素
B)判断信息系统和重要程度主要考虑其用户的数量
C)判断系统损失大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价
D)根据有关要求国家机关的信息安全事件必须划分为“重大事件”“较大事件”和“一般事件”三个级别
答案:C
解析:
7.[单选题]下面哪个阶段不属于软件的开发时期( )
A)详细设计
B)总体设计
C)编码
D)需求分析
答案:D
解析:
8.[单选题]关于 linux 下的用户和组,以下描述不正确的是(  )
A)在 linux 中,每一个文件和程序都归属于一个特定的“用户”
B)系统中的每一个用户都必须至少属于一个用户组
C)用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于多个组
D)root 是系统的超级用户,无论是否文件和程序的所有者都具有访问权限
答案:C
解析:一个用户可以属于多个组。
9.[单选题]在 Windos7中,通过控制面板(管理工具--本地安全策略--安全设置--账户策略)可以进入操作系统的密码策略设置界面,下面哪项内容不置能在该界面进行设置( )
A)密码必须符合复杂性要求
B)密码长度最小值
C)强制历史密码
D)账号锁定时间
答案:D
解析:
10.[单选题]自主访问控制( D A C)是应用很广泛的访问控制方法,常用于多种商业系统中。以下对 D A C 模型的理解中,存在错误的是()
A)在 D A C 模型中,资源的所有者可以规定谁有权访问它们的资源
B)D A C 是一种对单个用户执行访问控制的过程和措施
C)D A C 可为用户提供灵活调整的安全策略,具有较好的易用性可扩展性,可以抵御特洛伊木马的攻击
D)在 D A C 中,具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体
答案:C
解析:
11.[单选题]以下哪项描述是错误的
A)应急响应计划与应急响应这两个方面是相互补充与促进的关系
B)应急响应计划为信息安全事件发生后的应急响应提供了指导策略和规程
C)应急响应可能发现事前应急响应计划的不足
D)应急响应必须完全依照应急响应计划执行
答案:D
解析:
12.[单选题]一次出现""HACKER""这个词是在
A)BELL实验室
B)麻省理工AI实验室
C)AT&T实验室
D)以上都没有
答案:B
解析:
13.[单选题]下面哪一个不是脆弱性识别的手段
A)人员访谈
B)技术工具检测
C)信息资产核查
D)安全专家人工分析
答案:C
解析:
14.[单选题]软件安全设计和开发中应考虑用户隐私保护,以下关于用户隐私保护的说法错误的 是(  )
A)告诉用户需要收集什么数据及搜集到的数据会如何被使用
B)当用户的数据由于某种原因要被使用时,给客户选择是否允许
C)用户提交的用户名和密码属于隐私数据,其他都不是
D)确保数据的使用符合国家、地方、行业的相关法律法规
答案:C
解析:客户的私人信息都是隐私数据而不仅仅是用户名和密码。
15.[单选题]计算机漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而 可以使攻击者能够在未授权的情况下访问或破坏系统。在病毒肆意的信息不安全时代,某公 司为减少计算机系统漏洞,对公司计算机系统进行了如下措施,其中错误的是(  )
A)减少系统日志的系统开销
B)禁用或删除不需要的服务,降低服务运行权限
C)设置策略避免系统出现弱口令并对口令猜测进行防护
D)对系统连续进行限制,通过软件防火墙等技术实现对系统的端口连续进行控制
答案:A
解析:系统日志不应该减少
16.[单选题]恶意代码的第一个雏形是?
A)磁芯大战
B)爬行者
C)清除者
D)BR AIN
答案:A
解析:
17.[单选题]组织应开发和实施使用(  )来保护信息的策略,基于风险评估,应确定需要的保护级 别,并考虑需要的加密算法的类型、强度和质量。当选择实施组织的(  )时,应考虑我国应用 密码技术的规定和限制,以及( )跨越国界时的问题。组织开发和实施在密钥生命周期中 使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求,包括密钥的生成、 存储、归档、检索、分配、卸任和销毁。宜
根据最好的实际效果选择加密算法、密钥长度和 使用习惯。适合的(  )要求密钥在生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宜保护所有的密钥免遭修改和丢失。另外,秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备应进行(  )。
A)加密控制措施; 加密信息; 密码策略; 密钥管理; 物理保护
B)加密控制措施; 密码策略; 密钥管理; 加密信息; 物理保护
C)加密控制措施; 密码策略; 加密信息; 密钥管理: 物理保护
D)加密控制措施; 物理保护; 密码策略; 加密信息; 密钥管理
答案:C
解析:P112 页
18.[单选题]以下关于项目的含义,理解错误的是:
A)项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。
B)项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定。
C)项目资源指完成项目所需要的人、财、物等。
D)项目目标要遵守SMART原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agreeto)、现实(Realistic)、有一定的时限(Timeoriented)
答案:B
解析:
19.[单选题]全球物联网将朝着()、()和()的方向发展,同时以()将是全球各国的主要发展方向。物联网涉及感知、控制、网络通信、微电子、计算机、软件、嵌入式系统、微机电等技术领域,因此物联网涵盖的关键技术非常多,其主要技术架构可分为感知层、()、()和()四个层次。
A)规模化;协同化;智能化;带动物联网产业;传输层;支撑层;应用层
B)规模化;协同化;智能化;物联网应用带动物联网产业;传输层;支撑层;应用层
C)规模化;协同化;智能化;物联网应用;传输层;支撑层;应用层
D)规模化;协同化;智能化;物联网应用;同步层;支撑层;应用层
答案:B
解析:
20.[单选题]关于信息安全策略文件的评审以下说法不正确的是哪个?
A)信息安全策略应由专人负责制定、评审。
B)信息安全策略评审每年应进行两次,上半年、下半年各进行一次。
C)在信息安全策略文件的评审过程中应考虑组织业务的重大变化。
D)在信息安全策略文件的评审过程中应考虑相关法律法规及技术环境的重大变化。
答案:B
解析:
21.[单选题]操作系统用于管理计算机资源,控制整个系统运行,是计算机软件的基础。操作系统安全是
计算、网络及信息系统安全的基础。一般操作系统都提供了相应的安全配置接口。小王新买了一台计算机,开机后首先对自带的Windows 操作系统进行配置。他的主要操作有:(1)关闭不必要的服务和端口;(2)在“在本地安全策略”重配置账号策略、本地策略、公钥策略和 IP 安全策略;(3)备份敏感文件,禁止建立空连接,下载最新补丁;(4)关闭审核策略,开启口令策略,开启账号策略。这些操作中错误的是?
A)操作(1),应该关闭不必要的服务和所有端口
B)操作(2),在“本地安全策略”中不应该配置公钥策略,而应该配置私钥策略
C)操作(3),备份敏感文件会导致这些文件遭到窃取的几率增加
D)操作(4),应该开启审核策略
答案:D
解析:审核策略应该开启以实现跟踪和监控操作系统安全配置主要包括:操作系统安全策略、开启账户策略、关闭不必要的服务、关闭不必要的端口、开启审核策略、开启账户策略、备份敏感文件、不显示上次登录名、禁止建立空链接和下载最新补丁。
22.[单选题]浏览网页时,弹出“最热门的视频聊天室”的页面,遇到这种情况,一般怎么办?______
A)现在网络主播很流行,很多网站都有,可以点开看看
B)安装流行杀毒软件,然后再打开这个页面
C)访问完这个页面之后,全盘做病毒扫描
D)弹出的广告页面,风险太大,不应该去点击
答案:D
解析:
23.[单选题]视窗操作系统(Windows)从哪个版本开始引入安全中心的概念?( )
A)WinNT SP6
B)Win2000 SP4
C)WinXP SP2
D)Win2003 SP1
答案:C
解析:
24.[单选题]信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理包括(  )六个方面的内容。( ) 是信息安全风险管理的四个基本步骤,(  )则贯穿于这四个基本步骤中.:
class="fr-fic fr-fil fr-dib cursor-hover"
A)背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询:背景建立、风险评估、风险处理和批准监督:监控审查和沟通咨询:
B)背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询:背景建立、风险评估、风险处理和监控审查:批准监督和沟通咨询:
C)背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询:背景建立、风险评估、风险处理和沟通咨询:监控审查和批准监督:
D)背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询:背景建立、风险评估、监控审查和批准监督:风险处理和沟通咨询。
答案:A
解析:背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询。
数据库认证考试25.[单选题]有关人员安全的描述不正确的是
A)人员的安全管理是企业信息安全管理活动中最难的环节
B)重要或敏感岗位的人员入职之前,需要做好人员的背景检查
C)企业人员预算受限的情况下,职责分离难以实施,企业对此无能为力,也无需做任何工作
D)人员离职之后,必须清除离职员工所有的逻辑访问帐号
答案:C
解析:
26.[单选题]WAPI采用的是什么加密算法?