CISP试题及答案（十一）

CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试，大家一定要掌握以上知识。为帮助大家备考，小编为大家整理了CISP试题及答案，具体内容如下：

单项选择题

1、以下哪一项不是IIS服务器支持的访问控制过滤类型?（）

A、网络地址访问控制

B、 web 服务器许可

C 、NTFS 许可

D、异常行为过滤

参考答案：D

2、以下哪一项不是跨站脚本攻击?（）

A、给网站挂马

B、盜取C00KIE

C、伪造页面信息

D、暴力破解密码

参考答案：D

3、以下对Windows服务的说法错误的是( )

A、为了提升系统的安全性管理员应尽量关闭不需要的服务

B 、Windows服务只有在用户成功登录系统后才能运行

C、可以作为独立的进程运行或以DLL的形式依附在Svchost、 exe

D 、windows服务通常是以管理员的身份运行的

参考答案：B

4、对能力成熟度模型解释最准确的是?（）

A、它认为组织的能力依赖与严格定义，管理完善，可测可控的有效业务过程

B、它通过严格考察工程成果来判断工程能力。

C、它与统计过程控制的理论出发点不同，所以应用于不同领域。

D、它是随着信息安全的发展而诞生的重要概念。

参考答案：A

5、 Visa 和MasterCard共同开发的用于信用卡交易的安全协议是什么

A、 SSL

B、 SET (安全电子交易协议)

C、 PPTP

D、三重DES

参考答案：B

6、一个单位在处理一台储存过高密级信息的计算机是首先应该做什么?（）

A、将硬盘的每-一个比特写成“0”

B、将硬盘彻底毁坏

C、选择秘密信息进行删除

D、进行低级格式化

参考答案：C

7、 Ethernet MAC 地址是多少位

A、36位

B、32位

C、24位

D、48位

参考答案：D

8、变更控制是信息系统运行管理的重要的内容，在变更控制的过程中:（）

A、应该尽量追求效率，而没有任何的程序和核查的阻碍。

B、应该将重点放在风险发生后的纠正措施上。

C、应该很好的定义和实施风险规避的措施。

D、如果是公司领导要求的，对变更过程不需要追踪和审查

参考答案：C

9、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的:

A、测试系统应使用不低于生产关系的访问控制措施

B、未测试系统中的数据部署完善的备份与恢复措施

C、在测试完成后立即清除测试系统中的所有敏感数据

D、部署审计措施，记录生产数据拷贝和使用

参考答案：B

10、下面对于“电子邮件炸弹”的解释最准确的是:（）

A、邮件正文中包含的恶意网站链接

B、邮件附件中具有强破坏性的病毒

C、社会工程的一种方式，具有恐吓内容的邮件

D、在短时间内发送大量邮件软件，可以造成目标邮箱爆满

参考答案：D

11、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?

A、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑

B、应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品

C、应在将信息安全作为实施和开发人员的-项重要工作内容，提出安全开发的规范并切实落实

D、应详细规定系统验收测试中有关系统安全性测试的内容

参考答案：A

12、以下哪一项是常见Web站点脆弱性扫描工具:（）

A、Sni ffer

B、Nmap

C、 Appscan

D、 LC

参考答案：C

13、如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程变更时你、

最应当关注的是:

A、变更的流程是否符合预先的规定

B、变更是否会对项目进度造成拖延

C、变更的原因和造成的影响

D、变更后是否进行了准确的记录

参考答案：C

14、下面哪一项不是安全编程的原则（）

A、尽可能使用高级语言进行编程

B、尽可能让程序只 实现需要的功能

C、不要信任用户输入的数据

D、尽可能考虑到意外的情况，并设计妥善的处理方法

参考答案：A

15、信息化建设和信息安全建设的关系应当是:

A、信息化建设的结束就是信息安全建设的开始、

B、信息化建设和信息安全建设应同步规划、同步实施

C、信息化建设和信息安全建设是交替进行的，无法区分谁先谁后

D、以上说法都正确

参考答案：B

16、在信息系统的开发和维护过程中，以下哪一种做法是不应该被赞成的（）

A、在购买软件包后，依靠本单位的技术力量对软件包进行修改，加强代码的安全性

B、当操作系统变更后，对业务应用系统进行测试和评审

C、在需要是对操作文档和用户守则进行适当的修改

D、在安装委外开发的软件前进行恶意代码检测

参考答案：B

17、 SSH 的用户鉴别组件运行在0SI的哪一层

A、传输层

B、网络层

C、会话层

D、物理层

参考答案：A

18、对于信息系统访问控制说法错误的是?（）

A、应该根据业务需求和安全要求制定清晰的访问控制策略，并根据需要进行评审和改进

B、网络访问控制是访问控制的重中之重，网络访问控制做好了操作系统和应用层次的访问控制就会解决

C、做好访问控制工作不仅要对用户的访问活动进行严格管理，还要明确用户在访问控制中的有关责任、

D、移动计算和远程工作技术的广泛应用给访问控制带来新的问题，因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施

参考答案：B

19、在风险评估中进行定量的后果分析时，如果采用年度风险损失值的方法进行计算，应当使用一下哪个公式?（）

A、 SLE (单次损失预期值) x ARO (年度发生率)

B、 ARO (年度发生率) x EF(暴露因子)

C、 SLE (单次损失预期值) x EF(暴露因子) x ARO (年度发生率)

D、 SLE (单次损失预期值) x ARO (年度发生率) —EF(暴露因子)

参考答案：A

20、以下哪个标准描述了典型的安全服务和0SI模型中7层的对应关系

A、 IS0/IEC 7498-2

B、 BS 7799

C、通用评估准则

D、 IATF

参考答案：A