CISP题库实际上不对外公开,目前对外公开的试题资料基本是模拟试题或者说是各大机构整理的备考资料。真正的考题需要考生通过报考机构获取。此次整理的CISP2021年模拟考题(2)暂无答案,请考生悉知!
6.关于 ARP 欺骗原理和防范措施,下面理解错误的是()
A.ARP 欺骗是指攻击者直接向受害者主机发送错误人 ARP 应答报文, 使得受害者主机将错误的硬件地址映射关系存入到 ARP 缓存中,从而起到冒充主机的目的
B.单纯利用 ARP 欺骗攻击时,ARP 欺骗通常影响的是内部子网,不能跨越路由实施攻击
C.解决 ARP 欺骗的一个有效方法是采用“静态”的 ARP 缓存,如果发生硬件地址的更改,则需要人工更新缓存
D.彻底解决 ARP 欺骗的方法是避免使用 ARP 协议和 ARP 缓存,直接采用 IP 地址和其他主机进行连接
7.某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后在针对性的解决,比前期安全投入要成本更低,信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全希赛网,请选择对软件开发安全投入的准确说法()
A.信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低
B,软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
D.双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同
8.Gary MoGrow 博士及其合作都提出软件安全应由三根支柱来支撑,这三个支柱是()
A.测代码审核,风险分析和渗透测试
B.应用风险管理,软件安全接触点和安全知识
C.威胁建模,渗透测试和软件安全接触点
D.威胁建模,测代码审核和模模糊测试
9.对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响,依据信息系统 的重要程度对信息上系统进行划分,不属于正确划分级别的是()
A.特别重要信息系统
B.重要信息系统
C.一般信息系统
D.关键信息系统
10.信息安全组织的管理涉及内部组织和外部各方面两个控制目标,为了实现对组织内部信息安全的有效 管理,应该实施常规的控制措施,不包括哪些选项()
A.信息安全的管理承诺,信息安全协调,信息安全职责的分配
B.信息处理设施的授权过程,保密性协议,与政府部门的联系
C.与特定利益集团的联系,信息安全的独立评审
D.与外部各方相关风险的识别,处理外部各方协议的安全问题
注:以上试题资源来源于网络,如有侵权,请联系删除。
