CISP考试内容主要包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域。想要通过考试,大家一定要掌握以上知识。为帮助大家备考,小编为大家整理了CISP试题及答案,具体内容如下:
单项选择题
1、下面对于强制访问控制的说法错误的是?()
A、它可以用来实现完整性保护,也可以用来实现机密性保护
B、在强制访问控制的系统中,用户只能定义客体的安全属性
C、它在军方和政府等安全要求很高的地方应用较多
D、它的缺点是使用中的便利性比较低
参考答案:B
2、负责授权访问业务系统的职责应该属于()
A.数据拥有者
B.安全管理员
C.IT安全经理
D.请求者的直接上司
参考答案:A
3、以下哪两个安全模型分别是多级完整性模型和多边保密模型?()
A、Biba模型和Bell一Lapadula模型
B、Bell一Lapaduia模型和Biba模型
C、ChineseWall模型和Bell一Lapadula模型
D、Biba模型和ChineseWall模型
参考答案:D
4、当保护组织的信息系统时,在网络防火墙被破坏以后,通常的下一道防线是下列哪一项?
A.个人防火墙
B.防病毒软件
C.入侵检测系统
D.虚拟局域网设置
参考答案:C
5、在一个使用ChineseWall模型建立访问控制的信息系统中,数据W和数据
X在一个兴趣冲突域中,数据Y和数据Z在另一个兴趣冲突域中,那么可以确定一个新注册的用户:()
A、只有访问了w之后,才可以访问X
B、只有访问了W之后,才可以访问Y和Z中的一个
C、无论是否访问W,都只能访问Y和Z中的一个
D、无论是否访问W,都不能访问Y或Z
参考答案:C
6、信息系统审核员应该预期谁来授权对生产数据和生产系统的访问?
A.流程所有者
B.系统管理员
C.安全管理员
D.数据所有者
参考答案:D
7、BMA访问控制模型是基于()
A、健康服务网络
B、ARPANET
C、ISP
D、INTERNET
参考答案:A
8、以下关于ISMS内部审核报告的描述不正确的是?
A.内审报告是作为内审小组提交给管理者代表或较高管理者的工作成果
B.内审报告中必须包含对不符合性项的改进建议
C.内审报告在提交给管理者代表或者较高管理者之前应该受审方管理者沟通协商,核实报告内容。
D.内审报告中必须包括对纠正预防措施实施情况的跟踪
参考答案:D
9、下面关于密码算法的说法错误的是?()
A、分组密码又称作块加密
B、流密码又称作序列密码
C、DES算法采用的是流密码、
D、序列密码每次加密一位或一个字节的明文
参考答案:C
10、ISMS审核时,对审核发现中,以下哪个是属于严重不符合项?
A.关键的控制程序没有得到贯彻,缺乏标准规定的要求可构成严重不符合项
B.风险评估方法没有按照ISO27005(信息安全风险管理)标准进行
C.孤立的偶发性的且对信息安全管理体系无直接影响的问题;
D.审核员识别的可能改进项
参考答案:D
11、下面对于SSH的说法错误的是?()
A、SSH是SecureShell的简称
B、客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证
C、通常Linux操作系统会在/usr/local目录下默认安装OpenSSH
D、SSH2比SSH1更安全
参考答案:B
12、下面对于标识和鉴别的解释最准确的是:()
A、标识用于区别不同的用户,而鉴别用于验证用户身份的真实性
B、标识用于区别不同的用户,而鉴别用于赋予用户权限
C、标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性
D、标识用于保证用户信息的完整性,而鉴别用于赋予用户权限
参考答案:A
13、从风险分析的观点来看,计算机系统的最主要安全脆弱性存在于()
A、计算机内部处理
B、系统输入输出
C、网络和通讯
D、数据存储介质
参考答案:B
14、以下选项中那一项是对信息安全风险采取的纠正机制?()
A、访问控制
B、入侵检测
C、灾难恢复
D、防病毒系统
参考答案:C
15、下面哪一项最准确的阐述了安全检测措施和安全审计之间的区别?()
A、审计措施不能自动执行,而检测措施可以自动执行
B、检测措施不能自动执行,而审计措施可以自动执行
C、审计措施是一次性的或周期性的进行,而检测措施是实时的进行
D、检测措施是一次性的或周期性的进行,而审计措施是实时的进行
参考答案:C
