CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试,大家一定要掌握以上知识。为帮助大家备考,小编为大家整理了2022年CISP考试模拟试题每日一练,大家可以练习下。
单项选择题:
1.访问控制的实施一般包括两个步骤,首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予相应用户的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,标有数字的方框代表了主体、客体、访问控制实施部件和访问控制决策部件。下列选项中,标有数字1、2、3、4 的方框分别对应的实体或部件正确的是()。
A.主体、访问控制决策、客体、访问控制实施
B.主体、访问控制实施、客体、访问控制决策
C.客体、访问控制决策、主体、访问控制实施
D.客体、访问控制实施、主体、访问控制决策
2.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE 是微软 SDL 中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing 是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?()
A . 网站竞争对手可能雇佣攻击者实施 DDos 攻击,降低网站访问速度
B . 网站使用 http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄漏,例如购买的商品金额等
C . 网站使用 http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D . 网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
3.以下有关系统工程说法错误的是()。
A.系统工程不属于基本理论,也不属于技术基础,它研究的重点是方法论
B.系统工程的目的是实现总体效果最优化,即从复杂问题总体入手,认为总体大于各部分之和, 各部分虽然存在不足,但总体可以优化
C.系统工程只需要使用定量分析的方法,通过建立实际对象的数学模型,应用合适的优化算法对模型求解解决实际问题
D.霍尔三维结构将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤解答:书上 P175 原文,定性和定量分析相结合的方法
4.随着即时通讯软件的普及使用,即时通讯软件也被恶意代码利用进行传播,以下哪项功能不是恶意代码利用即时通讯进行传播的方式()。
A 利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件
B 利用即时通讯软件发送指向恶意网页的URL
C 利用即时通讯软件发送指向恶意地址的二维码
D 利用即时通讯发送携带恶意代码的 TXT 文档
5.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他依据已有的资产列表,逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现机造成损失的可能性大小,并为其赋值。请问,他这个工作属于下面哪一个阶段的工作()。
A.资产识别并赋值
B.脆弱性识别并赋值
C.威胁识别并赋值
D.确认已有的安全措施并赋值
注:以上试题资源来源于网络,如有侵权,请联系删除。
