CISP試題及答案（九）

CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內(nèi)容如下：

單項選擇題

1、下面哪一 項是操作系統(tǒng)中可信通路( trust path)機制的實例?（）

A 、Window系統(tǒng)中ALT+CTRL+DEL

B、root在Linux系統(tǒng)上具有絕對的權(quán)限

C、以root身份作任何事情都要謹慎

D、控制root用戶的登錄可以在/etc/security 目錄下的access、conf文件中進行設(shè)置

參考答案：A

2、下面對于強制訪問控制的說法錯誤的是?（）

A、它可以用來實現(xiàn)完整性保護，也可以用來實現(xiàn)機密性保護

B、在強制訪問控制的系統(tǒng)中，用戶只能定義客體的安全屬性

C、它在軍方和政府等安全要求很高的地方應用較多

D、它的缺點是使用中的便利性比較低

參考答案：B

3、Apache Web 服務器的配置文件一般位于/usr/local/apache/conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：（）

A、httpd、 conf

B、srm、 conf

C、 inetd、 conf

D、access、 conf

參考答案：A

4、以下哪兩個安全模型分別是多級完整性模型和多邊保密模型?（）

A、 Biba模型和Bell一Lapadula 模型

B、 Bell一Lapaduia 模型和Biba模型

C、 Chinese Wall 模型和Bell一Lapadula 模型

D、 Biba模型和Chinese Wall模型

參考答案：D

5、下面哪一項不是黑客攻擊在信息收集階段使用的工具或命令（）

A、 NMAP

B、 NLSOOKUP

C、 ICESWord

D、 X scan

參考答案：C

6、 在一個使用Chinese Wall 模型建立訪問控制的信息系統(tǒng)中，數(shù)據(jù)W和數(shù)據(jù)

X在一個興趣沖突域中，數(shù)據(jù)Y和數(shù)據(jù)Z在另一個興趣沖突域中，那么可以確定一個新注冊的用戶:（）

A、只有訪問了w之后，才可以訪問X

B、只有訪問了 W之后，才可以訪問Y和Z中的一個

C、無論是否訪問W，都只能訪問Y和Z中的一個

D、無論是否訪問W，都不能訪問Y或Z

參考答案：C

7、那一類防火墻具有根據(jù)傳輸信息的內(nèi)容(如關(guān)鍵字、文件類型)來控制訪問鏈接的能力?（）

A、包過濾防火墻

B、狀態(tài)檢測防火墻

C、應用網(wǎng)關(guān)防火墻

D、以上都不能

參考答案：C

8、 BMA訪問控制模型是基于（）

A、健康服務網(wǎng)絡(luò)

B、 ARPANET

C、 ISP

D、 INTERNET

參考答案：A

9、下面關(guān)于IS027002說法錯誤的是?（）

A、 IS027002前身是IS017799-1

B、 IS027002 給出了通常意義下的信息安全管理最佳實踐供組織機構(gòu)選用，但不是全部

C、 IS027002 對于每個控制措施的表述分:“控制措施、實施指南和其他信息三個部分來進行描述

D、 IS027002提出了十一大類安全管理措施，其中風險評估和處置是處于核心地位的一類安全措施

參考答案：C

10、下面關(guān)于密碼算法的說法錯誤的是?（）

A、 分組密碼又稱作塊加密

B、流密碼又稱作序列密碼

C、 DES算法采用的是流密碼、

D、序列密碼每次加密一位或一個字節(jié)的明文

參考答案：C

11、信息分類是信息安全管理工作的重要環(huán)節(jié)，下面哪一項不是對信息進行分類時需要重點考慮的?（）

A、信息的價值

B、信息的時效性

C、信息的存儲

D、法律法規(guī)的規(guī)定

參考答案：C

12、下面對于SSH的說法錯誤的是?（）

A、 SSH是Secure Shell的簡稱

B、客戶端使用ssh連接遠程登錄SSH服務器必須經(jīng)過基于公鑰的身份驗證

C、通常Linux操作系統(tǒng)會在/usr/local目錄下默認安裝OpenSSH

D、 SSH2比SSH1更安全

參考答案：B

13、下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的：（）

A、設(shè)置網(wǎng)絡(luò)連接時限

B、記錄并分析系統(tǒng)錯誤日志

C、記錄并分析用戶和管理員日志

D、時鐘同步

參考答案：D

14、從風險分析的觀點來看，計算機系統(tǒng)的最主要安全脆弱性存在于（）

A、計算機內(nèi)部處理

B、系統(tǒng)輸入輸出

C、網(wǎng)絡(luò)和通訊

D、數(shù)據(jù)存儲介質(zhì)

參考答案：B

15、以下關(guān)于風險管理的描述不正確的是?（）

A、風險的四種控制方法有:減低風險/轉(zhuǎn)嫁風險/規(guī)避風險/接受風險

B、信息安全風險管理是否成功在于發(fā)現(xiàn)是否切實被消除了

C、組織應依據(jù)信息安全方針和組織要求的安全保證程度來確定需要管理的信息安全

D、信息安全風險管理是基于可接受的成本，對影響信息系統(tǒng)的安全風險進行識別多少或消除的過程。

參考答案：B

16、以下選項中那一項是對信息安全風險采取的糾正機制?（）

A、訪問控制

B、入侵檢測

C、災難恢復

D、防病毒系統(tǒng)

參考答案：C

17、下面哪一項最準確的闡述了安全檢測措施和安全審計之間的區(qū)別?（）

A、審計措施不能自動執(zhí)行，而檢測措施可以自動執(zhí)行

B、檢測措施不能自動執(zhí)行，而審計措施可以自動執(zhí)行

C、審計措施是一次性的或周期性的進行，而檢測措施是實時的進行

D、檢測措施是一次性的或周期性的進行，而審計措施是實時的進行

參考答案：C

18、風險評估按照評估者的不同可以分為自評估和第三方評估，這兩種評估方式

最本質(zhì)的差別是什么?（）

A、評估結(jié)果的客觀性

B、評估工具的專業(yè)程度

C、評估人員的技術(shù)能力

D、評估報告的形式

參考答案：A

19、下面對于標識和鑒別的解釋最準確的是:（）

A、標識用于區(qū)別不同的用戶，而鑒別用于驗證用戶身份的真實性

B、 標識用于區(qū)別不同的用戶，而鑒別用于賦予用戶權(quán)限

C、標識用于保證用戶信息的完整性，而鑒別用于驗證用戶身份的真實性

D、標識用于保證用戶信息的完整性，而鑒別用于賦予用戶權(quán)限

參考答案：A

20、風險管理的重點:（）

A、將風險降低到可以接受的程度

B、不計代價的降低風險

C、將風險轉(zhuǎn)移給第三方

D、懲罰違反安全策略規(guī)定的雇員

參考答案：A