2021CISP考试开考时间已经固定,由微信公众号【CISP】对外公布,9月各地都有考试,考试时间不一样,为了方便考生备考,小编整理了CISP考试试题,可供备考。
96.为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是()
A.由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
B.渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
C.渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
D.为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
97.风险,在GB/T 22081 中定义为事态的概率及其结果的组合,风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。ISO/IBC 13335-1 中揭示了风险各要素关系模型,如图所示,请结合此图,怎么才能降低风险对组织产生的影响?()
A.组织应该根据风险建立响应的保护要求,通过构架防护措施降低风险对组织产生的影响
B. 加强防护措施,降低风险
C.减少威胁和脆弱点降低风险
D.减少资产降低风险
98.以下关于Windows操作系统身份标识与鉴别,说法不正确的是()
A.本地安全授权机构(LSA)生成用户帐户在该系统内安全标识符(SID)
B.用户对鉴别信息的操作,如更改密码等都通过一个以Administrator权限运行的服务“Security Accounts Manager”来实现
C .Windows 操作系统远程登录经历了SMB鉴别机制、LM鉴别机制、Kerberos鉴别体系等阶段
D .完整的安全标识符(SID)包括用户和组的安全描述,48比特的身份特权、修订版本和可变的验证值
99. 关于信息安全保障技术框架(IATF),以下说法不正确的是() .
A.分层策略允许在适当的时候用低安全级保障解决方案以便降低信息安全保障的成本
B.IATF从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设
C. 允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性
D.IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
100.由于密码技术都依赖于密钥匙,因此密钥的安全管理是密钥技术应用中非常重要的环节,下列关于密钥匙管理说法错误的是()
A.科克霍夫在《军事密码学》中指出系统的保密性不依赖于对加密体制或算法的保密,而依赖于密钥
B.在保密通信过程中,通信双方可以一直使用之前用过的会话密钥,不影响安全性
C.密钥匙管理需要在安全策略的指导下处理密钥生命周期的整个过程,包括产生、存储、备份、分配、更新、撤销等
D.在保密通信过程中,通信双方也可利用Diffie-Helinan协议协商会话密钥进行保密通信
提示:本次试题无答案解析,请考生知悉,每次更新5题,仅供参照。
