CISP题库实际上不对外公开,目前对外公开的试题资料基本是模拟试题或者说是各大机构整理的备考资料。真正的考题需要考生通过报考机构获取。此次整理的CISP2021年模拟考题(21)暂无答案,请考生悉知!
101.以下关于 Web 传输协议、服务端和客户端软件的安全问题说法不正确的是()
A.HTTP 协议主要存在明文传输数据、弱验性和缺乏状态跟踪等方面的安全问题
B.HTTP 协议缺乏有效的安全机制,易导致拒绝服务、电子欺骗、嗅探等攻击
C.Cookie 是为了辨别用户身份,进行会话跟踪而存储在用户本地终端上的数据,用户可以随意查看储存在 Cookie 中的数据,但其中的内容不能被修改
D.针对 HTTP 协议存在的安全问题,使用 HTTP 具有较高的安全性,可以通过证书来验证服务器的身份,并为浏览器和服务器之间的通信加密
102.常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等,下面描述中错误的是()
A.从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型,强制访问控制模型和基于角色的访问控制模型
B.自主访问控制是一种广泛应用的方法,资源的所有者(往往也是创建者)可以规定谁有权利访问他们的资源,具有较好的易用性和可扩展性
C.强制访问控制模型要求主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,该模型具有一定的抗恶意程序攻击能力,适用于专用或安全性要求较高的系统
D.基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限, 该模型便于实施授权管理和安全约束,容易实现最小特权,职责分离等各种安全策略
103.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 成 GB/T22080 标准要求,其信息安全控制措施通常需要在符合性方面实施常规控制,符合性常规控制这一领域不包括以下哪项控制目标()
A.符合法律要求
B.符合安全策略和标准以及技术符合性
C.信息系统审核考虑
D.访问控制的业务要求,用户访问管理
104.以下关于 Windows 操作系统身份标识与鉴别,说法不正确的是()
A 本地安全授权机构(LSA)生成用户帐户在该系统内安全标识符(SID)
B 用户对鉴别信息的操作,如更改密码等都通过一个以 Administrator 权限运行的服务“Security Accounts Manager”来实现
C Windows 操作系统远程登录经历了 SMB 鉴别机制、LM 鉴别机制、Kerberos 鉴别体系等阶段
D 完整的安全标识符(SID)包括用户和组的安全描述,48 比特的身份特权、修订版本和可变的验证值
解释:SYSTEM 权限最大用户修改
105.若一个组织声称自己的 ISMS 符合 ISO/IBC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常在以下方面实施常规控制,资产管理包含对资产负责和信息分类两个控制目标,对资产负责的控制目标是实现和保护对组织资产的适当保护,这一控制目标的实现由以下控制措施的落实来保障,不包括哪一项()
A.资产清单
B.资产负责人
C.资产的可接受使用
D.分类指南、信息的标记和处理
注:以上试题资源来源于网络,如有侵权,请联系删除。
