CISP专业考试真题(第三套)
1、从历演进来看,信息安全的的发展经历了多个阶段,其中有一个阶段的特点是,网络信息系统的逐步形成,信息安全注重保护信息是在存储、处理和传输过程中免授非授权访问,开始使用防火墙,防病毒、Pki和vpn等安全产品,这个阶段是()
A、通信安全阶段搭线窃听,密码学分析
B、计算机安全阶段:非授权访问,恶意代码,弱口令
C、信息系统安全阶段:网络入侵
D、信息安全保障阶段黑客,
C
硬背
2、随着信息技术的不断发展,信息系统的重要性也越来越突出,与此同时,发生的信息安全事件越来越多,综合分析,信息安全问题产生的根源,下面描述下正确的是
A、信息系统自身存在脆弱性是根本原因。信息系统越来越重要,同时自身开发,部署和使用过程中存在的脆弱性,导致了诸多安全事件发生,因此,杜绝脆弱性的存在是解决信息安全问题的根本所在
B、信息系统面临诸多黑客的威胁,包括恶意攻击者和恶作剧攻击者,信息系统的应用越来越广,接触信息系统的人越多信息系统越可能遭受攻击,因此,避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题
C、信息安全问题产生的根源要从内因和外内两个方面分析,因为信息系统自身有脆弱性,同是外部又有威胁,从而导致信息系统可能发生安全事件。因此要防范信息安全风险,应该从内外因同是着手
D、信息安全问题的根本原因是内因、外因、人三个因素的综合作用,内因和外因都可能导致安全事件的发生,但最重要的还是人的因素,外部攻击者和内部人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生,因此对人这个因素的防范是安全工作的重点。
C
硬背
3、某学员在学习国家标准《信息系统安全保障评估框架第一部分,简单和一般模型》(GB20274.1-2006)后绘制了—张简化的信息系统安全保障模型图,请为空白处选择合适选项
A、安全保障(方针和组织)
B、安全防御(技术和管理)
C、深度防御(策略、防御、检测、响应)
D、保障要素(技术、管理、工程、人员)
D
硬背
4、目前信息系统面临外部攻击者的恶意攻击威胁,从威胁能力和掌握资源分,这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分,下列哪个属于组织威胁的是()
A、为恶意作剧,实现自我挑战的娱乐型黑客
B、实施犯罪、获取非法经济利益的网络犯罪集团
C、搜集政治、军事、经济等情报机构
D、巩固战略优势、执行军事任务。进行目标破坏的信息作战部队
B
5、2003年以来,我国高度重视信息安全保障工作,先后制定并发布了多个文件,从政策层面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件
A、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办公【2003】27号)
B、《国家网络安全综合计划(CNCI)》(国令【2008】54号)
C、《国家信息安全战略报告》(国信【2005】2号)
D、《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发23号)
B
6、我国信息安全保障建设包括信息安全组织与管理体制,基础设施,技术体系等方面,以下关于信息安全障建设主要工作内容说法不正确的是
A、健全国家信息安全组织与管理体制机制加强信息安全保障工作的组织保障
B、建设信息安全基础设施,提供国家信息安全保障能力支撑
C、建立信息安全技术体系,实现国家信息化发展的自主创新
D、建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养
C
7、某银行信息系统为了满足业务发展的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需要分析过程需要考虑的主要因素
A、信息系统安全必遵守相关的法律法规,国家以及金融业安全标准
B、信息系统所承载该银行业务正常运行的安全需求
C、消除或降低该银行信息系统面临的所有安全风险
D、该银行的整体安全策略
C
硬背
8、信息安全测评是依据相关标准,从安全功能等角度对信息技术产品,信息系统,服务提供商以及人员资质进行测评和评估,以下关于信息安全测评说法不下确的是()
A、信息产品安全评估是测评机构对产品的安全性做出的独立性评价,增强用户对已评估产品的信任
B、目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两钟类型
C、信息安全工程能力评估是对信息安全服务者的资格状态,技术实力和实施服务过程质量保证能力的具体衡量和评价
D、信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在脆弱性,评估安全事件可能造成的危害程度,提出有针对性的安全防御策略和整改措施。
B
硬背
9、小李是公司系统规划题,某天他针对公司信息的现状,绘制了一经系统安全图,如图所示、请问这个图列依据下哪模型来画的
A、PDR
B、PPDR
C、PDCA
D、IATF
B
硬背
10、在设计信息安全保障方案时,以下哪个做法是错误的
A、要充分切合信息安全需求并且实际可行
B、要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C、要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D、要充分考虑用户管理和文件的可接受性,减少系统方案实施障碍
C
11、关于密钥管理,下列说法错误的是
A、科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于密钥的安全性
B、保密通信过程中,通信方使用之前用过的会话密钥建立会话,不影响通信安全
C、密钥管理需要考虑密钥产生,存储,备份,分配,更新,撤销等生命周期的每个过程
D、在网络通信中,通信双方可DIFFIE-HELLMAN协议协商出会话密钥
B
12、在网络信息系统中对用户进行认证识别时,口令是种传统但仍然使用广范的方法,口令认证过程中常常使用静态口令和动态口令,下面描述错误的是
A、所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的都是固定静态,不变的
B、使用静态口令方案时,即使对口令简单加密或HASH后进行传输,攻击者依然可以重放攻击来欺骗信息系统的身份认证模块
C、动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续...足够的历史口令,则有可能预测出下次要使用的口令
D、通常,动态口令实现方式分为口令序列,时间同步及挑战/应答等几种类型
C
硬背
13、公钥基础设施引入数字证书的概念,用来表示用户的身份,下图简单描述了终端实体(用户)从认证权威机构CA申请,撤锁,和更新数据证书的流程,请为中间空白处选择合适的选项
A、证书库
B、RA
C、OCSP:在线查询证书状态
D、crl库:证书撤销列表
B
14、虚拟专用网(VPN)是指在公共网络中用到的隧道技术,建立临时的安全网络,这里的P指()
A、special-purpost,特定,专用途的
B、proprietary,专有的,专卖的
C、private,私有的,专有的
D、specific,特种具体的
C
15、ipsec(ip security)协议标准的设计目的是在IPV4和IPV6环境中为网络层流量提供灵活透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整和机密性,下列描述哪个是错误的
A、ipsec协议不支持使用数字证书
B、ipsec协议对于IPV4和IPV6网络都适用
C、ipsec有两种工作模式:传输模式和隧道模式
D、ipsec协议包括封装载荷(esp)和鉴别头(AH)两种通信保护机制
A
16、实施身份鉴别方法多种多样,而且随着技术进步,鉴别方法的强度不断提高,常见的方法有利用口令鉴别,令牌鉴别,指纹等,如图,小王在登录某移动支付平台时,首先需要通过指纹对用户身份进行鉴别,通过鉴别后,他才能作为合法用户用自己的帐户进行支付,转账等操作,这种方法属于下列选项中的()
A、实体所知的鉴别方法
B、实体所有的鉴别方法
C、实体特征的鉴别方法
D、实体所见的鉴别方法
17、鉴别是用户进入系统的第一道安全防线,用户登录系统时。输入用户名和密码就是对用户身份鉴别。鉴别通过,即可以实现两个实体之间的连接。例如,一个用户被服务器鉴别通
过后,则被服务器认为是合法用户,才可以进行后续访问。鉴别是对是信息的一项安全属性进行验证,该属性属于下列选项中的()
A、保密性
B、可用性
C、真实性
D、完整性
C
18、在信息系统中,访问控制是重要的安全功能之一。它的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理。防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份识别来限制对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是()
A、对文件进行操作的用户是主体tcp ip协议的ip层是指
B、主体可以接客体的信息和数据,也可能改变客体的相关的信息
C、访问权限是指主体对客体所允许的操作
D、对目录的访问可为分读、写和拒绝访问
D
19、自主访问控制模型(dac)的访问控制关系可以用访问控制表(ACL)来表示,该ACL利用在客体上附加个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向的链表来存储相关数据,下面选项中说明正确是()
A、acl是blp模型的一种具体实现
B、acl在删除用户时,去除该用户所有访问权限比较方便
C、ACL对于统计某个主体能访问哪些客体比较方便
D、ACL在增加客体时,增加相关的访问访问权限较为简单
B
硬背
20、根据blp模型安全策略,下图中写和读操作正确的是
A、可读可写
B、可读不可写
C、不可读可写
D、不可读不可写
B
硬背
21、kerberos协议是一种集中的访问控制协议,它能在复杂的网络环境中,为用户提供安全的单点登录服务。单点登录是指用户在网络中进行一次身份验证,便可以访问其制授权的所
有网络资源.而不在需要其它的身份认证过程,实质是消息M在多个应用系统之间的传递或共享,其中消息M是指
A、安全凭证
B、用户名
C、加密密钥
D、会话密钥
A
22、TCP/IP协议是 Internet最基本协议,也是internet构成的基础,TCP/IP通常被认为是一个N层协议,每一层都使用它的下一层所提供的网络服务完成自己的功能,这里的n应等于()
A、4
B、5
C、6
D、7
A
23、关于UDP协议说法,哪个是错误的?

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。