CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试,大家一定要掌握以上知识。为帮助大家备考,小编为大家整理了CISP试题及答案,具体内容如下:
单项选择题
1、 下面对于CC的“保护轮廓”( PP )的说法最准确的是:()
A、对系统防护强度的描述
B、对评估对象系统进行规范化的描述
C、对一类TOE的安全需求,进行与技术实现无关的描述
D、由一系列保证组件构成的包,可以代表预先定义的保证尺度
参考答案:C
2、进行信息安全管理体系的建设是一个涉及企业文化,信息系统特点、法律法规限制等多方面因素的复杂过程,人们在这样的过程中总结了许多经验,下面哪一项是最不值得被赞同的()
A、成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持
B、制定的信息安全管理措施应当与组织的文化环境相匹配
C、应该对IS027002国际标准批判的参考,不能完全照搬
D、借助有经验的大型国际咨询公司,往往可以提高公司管理体系的执行效果
参考答案:C
3、以下哪一项是DOS攻击的一个实例()
A 、SQL注入
B、 IP Spoof
C 、Smurf攻击
D、字典破解
参考答案:B
4、对程序源代码进行访问控制管理时,以下那种做法是错误的?()
A、若有可能,在实际生产系统中不保留源程序库
B、对源程序库的访问进行严格的审计
C、技术支持人员应可以不受限制的访问源程序
D、对源程序库的拷贝应受到严格的控制规程的制约
参考答案:C
5、下面哪一项是缓冲溢出的危害?()
A、可能导致shellcode的执行而非法获取权限,破坏系统的保密性
B、执行 shellcode后可能进行非法控制,破坏系统的完整性
C、可能导致拒绝服务攻击,破坏系统的可用性
D、以上都是
参考答案:D
6、目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是?()
A、数据库系统庞大会提高管理成本
B、数据库系统庞大会降低管理效率
C、数据的集中会降低风险的可控性
D、数据的集中会造成风险的集中
参考答案:D
7、黑客进行攻击的最后一个步骤是:()
A、侦查与信息收集
B、漏洞分析与目标选定
C、获取系统权限
D、扫战场、清楚证据
参考答案:D
8、管理者何时可以根据风险分析结果对已识别风险不采取措施()
A、当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时
B、当风险减轻方法提高业务生产力时
C、当引起风险发生的情况不在部门控制范围之内时
D、不可接受
参考答案:A
9、IS0的0SI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务()
A、加密
B、数字签名
C、访问控制
D、路由控制
参考答案:B
10、以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性()
A、 ITSEC
B、 TCSEC
C、 GB/T9387、 2
D、彩虹系列的橙皮书
参考答案:A
11、以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性()
A、ITSEC
B、TCSEC
C、GB/T9387、2
D、彩虹系列的橙皮书
参考答案:A
12、 IS0的0SI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务()
A、加密
B、数字签名
C、访问控制
D、路由控制
参考答案:B
13、黑客进行攻击的最后一个步骤是:()
A、侦查与信息收集
B、漏洞分析与目标选定
C、获取系统权限
D、扫战场、清楚证据
参考答案:D
14、管理者何时可以根据风险分析结果对已识别风险不采取措施()
A、当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时
B、当风险减轻方法提高业务生产力时
C、当引起风险发生的情况不在部门控制范围之内时
D、不可接受
参考答案:A
15、下面哪一项是缓冲溢出的危害?()
A、可能导致shellcode的执行而非法获取权限,破坏系统的保密性
B、执行shellcode后可能进行非法控制,破坏系统的完整性
C、可能导致拒绝服务攻击,破坏系统的可用性
D、以上都是
参考答案:D
16、目 前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是?()
A、数据库系统庞大会提高管理成本
B、数据库系统庞大会降低管理效率
C、数据的集中会降低风险的可控性
D、数据的集中会造成风险的集中
参考答案:D
17、以下哪一项是DOS攻击的一个实例()
A、SQL注入
B、IPSpoof
C、Smurf攻击
D、字典破解
参考答案:B
18、对程序源代码进行访问控制管理时,以下那种做法是错误的?()
A、若有可能,在实际生产系统中不保留源程序库
B、对源程序库的访问进行严格的审计
C、技术支持人员应可以不受限制的访问源程序
D、对源程序库的拷贝应受到严格的控制规程的制约
参考答案:C
19、下面对于CC的“保护轮廓”(PP)的说法最准确的是:()
A、对系统防护强度的描述
B、对评估对象系统进行规范化的描述
C、对一类TOE的安全需求,进行与技术实现无关的描述
D、由一系列保证组件构成的包,可以代表预先定义的保证尺度
参考答案:C
20、进行信息安全管理体系的建设是一个涉及企业文化,信息系统特点、法律法规限制等多方面因素的复杂过程,人们在这样的过程中总结了许多经验,下面哪一项是最不值得被赞同的()
A、成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持
B、制定的信息安全管理措施应当与组织的文化环境相匹配
C、应该对IS027002国际标准批判的参考,不能完全照搬
D、借助有经验的大型国际咨询公司,往往可以提高公司管理体系的执行效果
参考答案:C