CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试,大家一定要掌握以上知识。为帮助大家备考,小编为大家整理了CISP试题及答案,具体内容如下:
单项选择题
1、下面哪一 项是操作系统中可信通路( trust path)机制的实例?()
A 、Window系统中ALT+CTRL+DEL
B、root在Linux系统上具有绝对的权限
C、以root身份作任何事情都要谨慎
D、控制root用户的登录可以在/etc/security 目录下的access、conf文件中进行设置
参考答案:A
2、下面对于强制访问控制的说法错误的是?()
A、它可以用来实现完整性保护,也可以用来实现机密性保护
B、在强制访问控制的系统中,用户只能定义客体的安全属性
C、它在军方和政府等安全要求很高的地方应用较多
D、它的缺点是使用中的便利性比较低
参考答案:B
3、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:()
A、httpd、 conf
B、srm、 conf
C、 inetd、 conf
D、access、 conf
参考答案:A
4、以下哪两个安全模型分别是多级完整性模型和多边保密模型?()
A、 Biba模型和Bell一Lapadula 模型
B、 Bell一Lapaduia 模型和Biba模型
C、 Chinese Wall 模型和Bell一Lapadula 模型
D、 Biba模型和Chinese Wall模型
参考答案:D
5、下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令()
A、 NMAP
B、 NLSOOKUP
C、 ICESWord
D、 X scan
参考答案:C
6、 在一个使用Chinese Wall 模型建立访问控制的信息系统中,数据W和数据
X在一个兴趣冲突域中,数据Y和数据Z在另一个兴趣冲突域中,那么可以确定一个新注册的用户:()
A、只有访问了w之后,才可以访问X
B、只有访问了 W之后,才可以访问Y和Z中的一个
C、无论是否访问W,都只能访问Y和Z中的一个
D、无论是否访问W,都不能访问Y或Z
参考答案:C
7、那一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问链接的能力?()
A、包过滤防火墙
B、状态检测防火墙
C、应用网关防火墙
D、以上都不能
参考答案:C
8、 BMA访问控制模型是基于()
A、健康服务网络
B、 ARPANET
C、 ISP
D、 INTERNET
参考答案:A
9、下面关于IS027002说法错误的是?()
A、 IS027002前身是IS017799-1
B、 IS027002 给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部
C、 IS027002 对于每个控制措施的表述分:“控制措施、实施指南和其他信息三个部分来进行描述
D、 IS027002提出了十一大类安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施
参考答案:C
10、下面关于密码算法的说法错误的是?()
A、 分组密码又称作块加密
B、流密码又称作序列密码
C、 DES算法采用的是流密码、
D、序列密码每次加密一位或一个字节的明文
参考答案:C
11、信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的?()
A、信息的价值
B、信息的时效性
C、信息的存储
D、法律法规的规定
参考答案:C
12、下面对于SSH的说法错误的是?()
A、 SSH是Secure Shell的简称
B、客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证
C、通常Linux操作系统会在/usr/local目录下默认安装OpenSSH
D、 SSH2比SSH1更安全
参考答案:B
13、下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:()
A、设置网络连接时限
B、记录并分析系统错误日志
C、记录并分析用户和管理员日志
D、时钟同步
参考答案:D
14、从风险分析的观点来看,计算机系统的最主要安全脆弱性存在于()
A、计算机内部处理
B、系统输入输出
C、网络和通讯
D、数据存储介质
参考答案:B
15、以下关于风险管理的描述不正确的是?()
A、风险的四种控制方法有:减低风险/转嫁风险/规避风险/接受风险
B、信息安全风险管理是否成功在于发现是否切实被消除了
C、组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全
D、信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别多少或消除的过程。
参考答案:B
16、以下选项中那一项是对信息安全风险采取的纠正机制?()
A、访问控制
B、入侵检测
C、灾难恢复
D、防病毒系统
参考答案:C
17、下面哪一项最准确的阐述了安全检测措施和安全审计之间的区别?()
A、审计措施不能自动执行,而检测措施可以自动执行
B、检测措施不能自动执行,而审计措施可以自动执行
C、审计措施是一次性的或周期性的进行,而检测措施是实时的进行
D、检测措施是一次性的或周期性的进行,而审计措施是实时的进行
参考答案:C
18、风险评估按照评估者的不同可以分为自评估和第三方评估,这两种评估方式
最本质的差别是什么?()
A、评估结果的客观性
B、评估工具的专业程度
C、评估人员的技术能力
D、评估报告的形式
参考答案:A
19、下面对于标识和鉴别的解释最准确的是:()
A、标识用于区别不同的用户,而鉴别用于验证用户身份的真实性
B、 标识用于区别不同的用户,而鉴别用于赋予用户权限
C、标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性
D、标识用于保证用户信息的完整性,而鉴别用于赋予用户权限
参考答案:A
20、风险管理的重点:()
A、将风险降低到可以接受的程度
B、不计代价的降低风险
C、将风险转移给第三方
D、惩罚违反安全策略规定的雇员
参考答案:A
