CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试,大家一定要掌握以上知识。为帮助大家备考,小编为大家整理了2021年CISP考试模拟试题,大家可以练习下。
单项选择题(每题1分)
131、在使用系统安全工程-能力成熟度模型(SSE-CCM)对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误的理解是()
A、如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时,则这个组织在这个过程区域的能力成熟度未达到此级
B、如果该组织某个过程区域(Process Areas,PA)具备了“定义标准过程”、“执行已定义的过程"”两个公共特征,则此过程区域的能力成熟度级别达到3级“充分定义级"
C、如果某个过程区域(Process Areas,PA)包含4个基本实施(Base Practices,BP),执行此PA时执行了3个BP,则此过程区域的能力成熟度级别为0
D、组织在不同的过程区域的能力成熟度可能处于不同的级别上
答案:B
132、信息安全工程监理的职责包括()
A、质量控制、进度控制、成本控制、合同管理、信息管理和协调
B、质量控制、进度控制、成本控制、合同管理和协调
C、确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调
D、确定安全要求、认可设计方案、监视安全态势和协调
答案:A
133、关于监理过程中成本控制,下列说法中正确的是?()
A、成本只要不超过预计的收益即可
B、成本应控制得越低越好
C、成本控制由承建单位实现,监理单位只能记录实际开销
D、成本控制的主要目的是在批准的预算条件下确保项目保质按期完成
答案:D
134、下列关于ISO15408信息技术安全评估准则(简称CC)通用性的特点,即给出通用的表达方式,描述不正确的是()
A、如果用户、开发者、评估者和认可者都使用CC语言,互相就容易理解沟通
B、通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
C、通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定
D、通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估
答案:D
135、以下哪项是对系统工程过程中“概念与需求定义"阶段的信息安全工作的正确描述?()
A、应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑
B、应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品
C、应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实
D、应详细规定系统验收测试中有关系统安全性测试的内容
答案:A
136、基于对()的信任,当一个请求或命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的()。在()中,攻击者伪装成“公安部门”人员要求受害者对权威的信任。在()中,攻击者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者执行操作,例如伪装成系统管理员,告诉用户请求配合进行一次系统测试,要求()等()
A、权威:执行:电信诈骗:网络攻击:更改密码
B、权威:执行:网络攻击:电信诈骗:更改密码
C、执行:权威:电信炸骗:网络攻击:更改密码
D、执行:权威:网络攻击:电信许骗:更改密码
答案:A
137、了解社会工程学攻击是应对和防御()的关键,对于信息系统的管理人员和用户,都应该了解社会学的攻击的概念和攻击的()。组织机构可采取对相关人员实施社会工程学培训来帮助员工了解什么是社会工程学攻击,如何判断是否存在社会工程学攻击,这样才能更好的保护信息系统和()。因为如果对攻击方式有所了解那么用户识破攻击者的伪装就().因此组织机构应持续不断的向员工提供安全意识的培训和教育,向员工灌输(),人机降低社会工程学攻击的风险()
A、社会工程学攻击:越容易:原理:个人数据:安全意识
B、社会工程学攻击:原理:越容易:个人数据:安全意识
C、原理:社会工程学攻击:个人数据:越容易:安全意识
D、社会工程学攻击:原理:个人数据:越容易:安全意识
答案:D
138、建立并完善()是有效应对社会工程攻击的方法,通过()的建立,使得信息系统用户需要循()来实施某些操作,从而在一定程度上降低社会工程学的影响.例如对于用户密码的修改,由于相应管理制度的要求,()需要对用户身份进行电话回拨确认才能执行,那么来自外部的攻击就可能很难伪装成为内部工作人员进行(),因为他还需要想办法拥有一个组织机构内部电话才能实施()
A、信息安全管理体系:安全管理制度:规范:网络管理员:社会工程学攻击
B、信息安全管理体系:安全管理制度:网络管理员:规范:社会工程学攻击
C、安全管理制度:信息安全管理体系:规范:网络管理员:社会工程学攻击
D、信息安全管理体系:网络管理员:安全管理制度:规范:社会工程学攻击
答案:A
139、信息收集是()攻击实施的基础,因此攻击者在实施前会对目标进行(),了解目标所有相关的()。这些资料和信息对很多组织机构来说都是公开或看无用的,然而对攻击者来说,这些信息都是非常有价值的,这些信息收集得越多,离他们成功得实现()就越近,如果认为信息没有价值或价值的非常低,组织机构通常不会采取措施(),这正是社会工程学攻击者所希望的()
A、信息收集:社会工程学:资料和信息:身份伪装:进行保护.
B、社会工程学:信息收集:资料和信息:身份伪装:进行保护
C、社会工程学:信息收集:身份伪装:资料和信息:进行保护.
D、信息收集:资料和信息:社会工程学:身份伪装:进行保护
答案:B
140、()攻击是建立在人性“弱点”利用基础上的攻击,大部分的社会工程学攻击都是经过()才能实施成功的,即使是最简单的“直接攻击”也需要进行()。如果希望受害者接受攻击者所()攻击者就必须具备这个身份需要的()
A、社会工程学:精心策划:前期的准备:伪装的身份:一些特征
B、精心策划:社会工程学:前期的准备:伪装的身份:一些特征
C、精心策划:社会工程学:伪装的身份:前期的准备:一些特征
D、社会工程学:伪装的身份:精心策划:前期的准备:一些特征
答案:A