2022年CISP模拟考试100题及答案教学文稿.pdf

《2022年CISP模拟考试100题及答案教学文稿.pdf》由会员分享，可在线阅读，更多相关《2022年CISP模拟考试100题及答案教学文稿.pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、此文档来源于网络，如有侵权请联系网站删除只供学习交流用CISP模拟考试100 题及答案（最新整理）1、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？BA必须是 TAMPERPROOF B必须足够大C必须足够小D必须总在其中2、CTCPEC 标准中，安全功能要求包括以下哪方面内容？ABDEA机密性要求B完整性要求；C保证要求；D可用性要求；E可控性要求3、TCP/IP 协议的 4层概念模型是？AA.应用层、传输层、网络层和网络接口层B.应用层、传输层、网络层和物理层C.应用层、数据链路层、网络层和网络接口层D.会话层、数据链路层、网络层和网络接口层4、中国信息安全产品测评认证中心

2、的四项业务是什么？ABCDA.产品测评认证；B.信息系统安全测评认证；C.信息系统安全服务资质认证；D.注册信息安全专业人员资质认证5、以下哪一项对安全风险的描述是准确的？CA、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性D、安全风险是指资产的脆弱性被威胁利用的情形。6、以下哪些不属于脆弱性范畴？AA、黑客攻击B、操作系统漏洞C 、应用程序BUG D、人员的不良操作习惯7、依据信息系统安全保障模型，以下那个

3、不是安全保证对象AA、机密性B、管理C、过程D、人员8、系统审计日志不包括以下哪一项？D A、时间戳B、用户标识C、对象标识D、处理结果9、TCP三次握手协议的第一步是发送一个：AA、SYN包B、SCK包C 、UDP包D、NULL包10、 以下指标可用来决定在应用系统中采取何种控制措施，除了 （） B精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用A、系统中数据的重要性B、采用网络监控软件的

4、可行性C、如果某具体行动或过程没有被有效控制，由此产生的风险等级D、每个控制技术的效率，复杂性和花费11、用户如果有熟练的技术技能且对程序有详尽的了解，就能巧妙的避过安全性程序，对生产程序做出更改。为防止这种可能，要增强：BA、工作处理报告的复查B、生产程序于被单独控制的副本之间的比较C、周期性测试数据的运行D、恰当的责任分割12、我国的强制性国家标准的写法？AA、GB 13、OSI 中哪一层不提供机密性服务？DA、表示层B、传输层C、网络层D、会话层14、程序安全对应用安全有很大的影响，因此安全编程的一个重要环节。用软件工程的方法编制程序是保证安全的根本。在程序设计阶段，推荐使用的方法有：A

5、a 建立完整的与安全相关的程序文件b 严格控制程序库c 正确选用程序开发工具d 制定适当的程序访问控制A. a、b、c、d B. a、b、c C. b、c、d D. b、c 15、Chinese Wall模型的设计宗旨是：AA、用户只能访问那些与已经拥有的信息不冲突的信息B、用户可以访问所有的信息C、用户可以访问所有已经选择的信息D、用户不可以访问那些没有选择的信息16、对不同的身份鉴别方法所提供的按防止重用攻击从大到小：CA、仅用口令，口令及个人识别号（PIN） ，口令响应，一次性口令B、口令及个人识别号（PIN） ，口令响应，一次性口令，仅由口令C、口令响应，一次性口令，口令及个人识别号（

6、PIN） ，仅有口令D、口令响应，口令及个人识别号（PIN） ，一次性口令，仅有口令17、下面那个协议在TCP/IP 协议的低层起作用？BA、SSL B、SKIP C、S-HTTP D 、S-PPC 18、UDP端口扫描的依据是：AA、根据扫描对放开房端口返回的信息判断精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用B、根据扫描对方关闭端口返回的信息判断C、综合考虑A和 B的情况进行判断D、

7、既不根据A也不根据B 19、企业内部互联网可以建立在企业内部网络上或是互联网上。以下哪一项控制机制是最不合适于在互联网上建立一个安全企业内部互联网的？BA、用户信道加密B、安装加密的路由器C、安装加密的防火墙D、在私有的网络服务器上实现密码控制机制20、以下的危险情况哪一个不适与数字签名和随机数字有关的？DA、伪装B、重复攻击C、密码威胁D、拒绝服务21、安全标志和访问控制策略是由下面哪一个访问控制制度所支持的？DA、基于身份的制度B、基于身份认证的制度C、用户指导制度D、强制访问控制制度22、以下哪个安全特征和机制是SQL数据库所特有的？BA、标识和鉴别B、交易管理C、审计D、故障承受机制2

8、3、下面有关IPSec 的描述中错误的是？AA、IETF 中的 IPSEC标准夭折在用户和设备之间建立一个加密通道 B 、VPN设备常常不能符合IPSEC标准24、 “中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为： C A、普密、商密两个级别B、低级和高级两个级别C、绝密、机密、秘密三个级别D、一密、二密、三密、四密四个级别25、除了对访问、处理、程序变更和其他功能进行控制外，为保障系统的安全需要仍需要建立信息审计追踪。 在一个用来记录非法的系统访问尝试的审计追踪日志中，一般不会包括下列哪项信息？ DA、授权用户列表B、事件或交易尝试的类型C、进行尝试的终

9、端精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用D、被获取的数据26、帧中继和X.25 网络是以下哪个选项的一部分？CA、电路交换服务B、单元交换服务C、分组交换服务D、专用数字服务27、在分布式开放系统的环境中，以下哪个选项的数据库访问服务提供允许或禁止访问的能力？ CA、对话管理服务B、事务管理服务C、资源管理服务D、控制管理服务28、为了阻止网络假冒，最好的方法是：C A、回拨技术B

10、、文件加密C、回拨技术加上数据加密D、拨号转移技术29、以下哪一项不能适应特洛伊木马的攻击？BA、强制访问控制B、自主访问控制C、逻辑访问控制D、访问控制表30、以下哪一种人给公司带来最大的安全风险？DA、临时工B、咨询人员C、以前员工D、当前员工31、一个公司经常修正其生产过程。从而造成对处理程序可能会伴随一些改动。下列哪项功能可以确保这些改动的影响处理过程，保证它们对系统的影响风险最小？BA、安全管理B、变更控制C、问题追踪D、问题升级程序32、应用软件测试的正确顺序是：DA、集成测试，单元测试，系统测试，交付测试B、单元测试，系统测试，集成测试，交付测试C、交付测试，单元测试，集成测试，

11、系统测试D、单元测试，集成测试，系统测试，交付测试33、哪个 TCP/IP 指令会得出下面结果？A精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用Interface:199.102.30.152 Internet Address Physical Address Type 199.102.30.152 Ao-ee-oo-5b-oe-ac dynamic A 、 ARP B 、 Netstat

12、 C 、 Tracert D 、 Nbtstat 34、哪个 TCP/IP 协议能够表明域里哪台是邮件服务器？DA、FTP B、nslookup C、tracert D、Telnet 35、 SMTPl连接服务器使用端口BA、21 B、25 36、数据库管理系统DBMS 主要由哪两大部分组成？CA、文件管理器和查询处理器B、事务处理器和存储管理器C、存储管理器和查询处理器D、文件管理器和存储管理器37、 SQL语言可以在宿主语言中使用，也可以独立地交互式使用。BA、寄宿B、嵌入C、混合D、并行38、下列为对称加密算法的例子为AA、Rijndael B、RSA C、Diffie-Hellman

13、D、Knapsack 39、下面哪种不是WINDOWS 2000 安装后默认有的共享？DA、CB、Ipc C、AdminD、Systemroot 40、在 WINDOWS 2000 系统中， 用什么命令或工具可以看到系统上开放的端口和进程的对应关系？ CA、NETSTAT B、NET USE 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用C、FPORT D、URLSCAN 41、为尽量防止

14、通过浏览网页感染恶意代码，下列做法中错误的是：DA、不使用IE 浏览器，而使用Opera 之类的第三方浏览器。B、关闭 IE 浏览器的自动下载功能。C、禁用 IE 浏览器的活动脚本功能。D、先把网页保存到本地再浏览。42、下列关于病毒和蠕虫的说法正确的是：BA、红色代码（CodeRed ）是病毒。B、Nimda是蠕虫。C、CIH 病毒可以感染WINDOWS 98 也可以感染WINDOWS 2000. D、世界上最早的病毒是小球病毒。43、下列为非对称加密算法的例子为DA、IDEA B、DES C、3DES D、ELLIPTOC CURVE 44、为了有效的完成工作，信息系统安全部门员工最需要以

15、下哪一项技能？DA、人际关系技能B、项目管理技能C、技术技能D、沟通技能45、保护轮廓（PP）是下面哪一方提出的安全要求？CA、评估方B、开发方C、用户方D、制定标准方46、在执行风险分析的时候，预期年度损失（ALE ）的计算是：CA、全部损失乘以发生频率B、全部损失费用实际替代费用C、单次预期损失乘以发生频率D、资产价值乘以发生频率47、有三种基本的鉴别的方式：你知道什么，你有什么，以及：CA、你需要什么B、你看到什么C、你是什么D、你做什么48、以下哪个选项不是信息中心（IC）工作职能的一部分？AA、准备最终用户的预算精品资料 - - - 欢迎下载 - - - - - - - - - -

16、- 欢迎下载 名师归纳 - - - - - - - - - -第 6 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用B、选择 PC的硬件和软件C、保持所有PC的硬件和软件的清单D、提供被认可的硬件和软件的技术支持49、在最近一次工资数据更新之后，一个未经授权的员工从公司的计算机中心得到了打印的公司数据表， 为保证只有经授权的员工才能得到敏感的打印数据，控制手段包括日志和：AA、有控制地销毁作废的打印数据B、接收人的签名确认C、对磁盘上的打印输出文件进行访问控制D、敏感打印数据的强制过期日期50、下面哪一个是国家推荐性标准？AA、

17、GB/T 18020-1999 应用级防火墙安全技术要求B、SJ/T 30003-93 电子计算机机房施工及验收规范C、GA 243-2000 计算机病毒防治产品评级准则D、ISO/IEC 15408-1999 信息技术安全性评估准则51、为了确定自从上次合法的程序更新后程序是否被非法改变过，信息系统安全审核员可以采用的审计技术是：AA、代码比照B、代码检查C、测试运行日期D、分析检查52、在 WINDOWS 2000 系统中，哪个进程是IIS 服务的进程？ AA、Inetinfo.exe B、Lsass.exe C、Mstask.exe D、Internat.exe 53、下面哪一个用于电子

18、邮件的鉴别和机密性? C A、数字签名B、IPSEC AH C、PGP D、MD4 54、在某个攻击中， 入侵者通过由系统用户或系统管理员主动泄漏的可以访问系统资源的信息，获得系统访问权限的行为被称作：AA、社会工程B、非法窃取C、电子欺骗D、电子窃听55、 CC的一般模型基于：AA、风险管理模型B、Bell lapadula模型精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用C、PDCA

19、模型D、PDR模型56、 ITSEC中的 E1-E5 对应 TCSEC 中哪几个级别？ACA、D到 B2 B、C2到 B3 C、C1到 B3 D、C2到 A1 57、事件响应方法学定义了安全事件处理的流程，这个流程的顺序是：CA、准备抑制检测根除恢复跟进B、准备检测抑制恢复根除跟进C、准备检测抑制根除恢复跟进D、准备抑制根除检测恢复跟进58、 PDR模型中，下面哪个措施不属于防护(P) 措施： CA、物理门禁B、防火墙C、入侵检测D、加密59、 CC中的评估保证级（EAL ）4 级涵义是： CA、结构测试级B、方法测试和校验级C、系统的设计、测试和评审级D、半形式化设计和测试级60、以下哪一项

20、是已经被确认了的具有一定合理性的风险？C A、总风险B、最小化风险C、可接受风险D、残余风险61、随着全球信息化的发展，信息安全成了网络时代的热点，为了保证我国信息产业的发展与安全，必须加强对信息安全产品、系统、服务的测评认证，中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构，以下对其测评认证工作的错误认识是： DA、测评与认证是两个不同概念，信息安全产品或系统认证需经过申请、测试、评估、认证一系列环节。B、认证公告将在一些媒体上定期发布，只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。C、 对信息安全产品的测评认证制度是我国按照WTO 规则

21、建立的技术壁垒的管理体制。D、通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。62、下列哪一项是磁介质上信息擦除的最彻底形式？DA、格式化精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 8 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用B、消磁C、删除D、破坏63、如果你刚收到一封你同事转发过来的电子邮件，警告你出现了一个可怕的新病毒，你会先做下面哪件事情？DA、将这个消息传给你认识的每个人B、用一个可信赖的信息源验证这个消

22、息C、将你的计算机从网络上连接D、升级你的病毒库64、当备份一个应用程序系统的数据时，以下哪一项是应该首先考虑的关键性问题？DA、什么时候进行备份？B、在哪里进行备份。 C 、怎样存储备份D、需要备份哪些数据65、 职责分离是信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员（单独进行操作） 可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背？ DA、数据安全管理员B、数据安全分析员C、系统审核员D、系统程序员66、与RSA （Rivest,Shamir,Adleman）算法相比，

23、DSS （Digital Signature Standard ）不包括： CA、数字签名B、鉴别机制C、加密机制D、数据完整性67、以下哪一种模型用来对分级信息的保密性提供保护？BA、Biba 模型和 Bell-LaPadula模型B、Bell-LaPadul模型和信息流模型C、Bell-LaPadula模型和Clark-wilson 模型D、Clark-wilson模型和信息流模型68. 责任机制对于实现安全性策略是很重要的，从系统用户来说，下列哪一个在严格的责任机制中的作用最小？BA、审计要求B、密码C、身份签别控制D、授权控制精品资料 - - - 欢迎下载 - - - - - - -

24、- - - - 欢迎下载 名师归纳 - - - - - - - - - -第 9 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用69、下面哪一项不是一个公开密钥基础设施（PKI）的正常的部件？BA、数字签名B、对称加密密钥C、CA中心D、密钥管理协议70、以下有关单方向HASH函数和加密算法的叙述中，正确的是：AA、它们都将一个明文转化为非智能的密文B、它们都是可逆的C、它们都不会破坏信息D、它们都使用密钥71、 一般由系统所有者上级单位或主管信息安全的机构授权信息系统投入运行的最后一步叫做: DA.、正式发布B、认证C、验证D

25、、认可72、 依据信息系统安全保障模型，划分安全保障等级要考虑的因素不包括下面哪一方面：DA、系统信息的密级B、系统的价值C、系统要对抗的威胁D、系统的技术构成73、在 Biba 模型中，完整性威胁来源于子系统的：BA.、内部B、外部C、内部或外部D、既非内部也非外部74、通常使用来实现抗抵赖CA、加密B、时间戳C、签名D、数字指纹75、关于 RA的功能下列说法正确的是BA、验证申请者的身份B、提供目录服务，可以查寻用户证书的相关信息C、证书更新D、证书发放76、从分析方法上入侵检测分为哪两种类型BA、异常检测、网络检测B、误用检测、异常检测精品资料 - - - 欢迎下载 - - - - -

26、- - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 10 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用C、主机检测、网络检测D、网络检测、误用检测77、一个可以对任意长度的报文进行加密和解密的加密算法称为：DA、链路加密B、批量加密C、端对端加密D、流加密78、你所属的机构为了保护一些重要的信息需要一个系统范围内的访问控制软件，在对这类软件产品的评价过程中，哪一条是最重要的原则？DA、需要保护什么样的信息B、信息是如何被保护的C、为保护信息预计投入多少D、如果信息不能被保护将造成的损失79、下

27、列选项中的哪一个可以用来减少一个虚拟专用网（VPN ）由于使用加密而导致的系统性能的降低？ BA、数字证书B、隧道化C、远程访问软件D、数字签名80、系统的安全策略和审查记录使得机构管理者能够确保用户对其自身的行为负责。为了使用系统记录，是安全策略发挥作用，下面哪一项是首要必需的？CA、物理访问控制B、环境控制C、管理控制D、逻辑访问控制81、下面哪一个短语能用来描述包含在一个应用程序中一系列指令中的恶意代码，例如一个字处理程序或表格制作软件？BA、主引导区病毒B、宏病毒C、木马D、脚本病毒82、以下哪一项不是防火墙系统的主要组成部分：DA、过滤协议B、应用网关C、扩展日志功能D、数据包交换8

28、3、对于数据分类和对应用程序按照敏感性进行分类，以下哪一项说法是正确的？CA、数据分类和应用程序分类是相同的B、在数据分类和应用程序分类中有清晰的划分观点精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 11 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用C、对不同的机构，数据分类和应用程序分类是不同的D、使用简单数据分类和应用程序分类比较容易84、机构应该把信息系统安全看作：CA、业务中心B、风险中心C、业务促进因素D、业务抑制因素85、谁

29、应该承担决定信息系统资源所需的保护级别的主要责任？B A、信息系统安全专家B、业务主管C、安全主管D、系统审查员86、对在一个机构中的信息系统安全部门来说，一个重要且关键的工作特点是：BA、组织化的回报机制B、落实信息系统安全责任制C、对信息系统安全提供技术协助D、来自其它部门的支持87、下面哪一种风险对电子商务系统来说是特殊不常见的? DA、服务中断B、应用程序系统欺骗C、未授权的信息漏洞D、确认信息发送错误88、令牌（ Tokens） ，智能卡及生物检测设备用于识别和鉴别，依据是以下哪个原则？BA、多方鉴别原则B、双因素原则C、强制性鉴别原则D、自主性鉴别原则89、下面哪个是私有（priv

30、ate）IP 地址？ AA、172.23.0.1 B、172.33.0.1 C、193.0.4.7 D、226.135.0.1 90、下面哪种通信协议可以利用IPSEC的安全功能？ D .TCP .UDP .FTP A、只有B、和C、和D、91、下面对跟踪审计功能的描述哪项是正确的？DA、审计跟踪不需要周期性复查。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 12 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用B、实时审计可以在问题发生时

31、进行阻止。C、对一次事件的审计跟踪记录只需包括事件类型和发生时间。D、审计是记录用户使用计算机网络系统进行的所有活动过程，它是提高安全的重要工具。92、不属于数据库加密方式的是DA、库外加密B、库内加密C、硬件 / 软件加密D、专用加密中间件93、在实际应用中，下面哪种加密形式既安全又方便？BA、选择性记录加密B、选择性字段加密C、数据表加密D、系统表加密94、某种防火墙的缺点是没有办法从细微之处来分析数据包，但它的优点是非常快，这种防火墙是以下哪种？D A、电路级网关；B、应用级网关；C、会话层防火墙；D、包过滤防火墙95、密码学包括哪两个相互对立的分支BA、对称加密与非对称加密B、密码编码

32、学与密码分析学C、序列算法与分组算法D、DES和 RSA 96、 DES的密钥长度是多少bit ？BA、64 B、56 C、512 D.、8 97、 IDEA的密钥长度是多少bit ？DA、56 B、64 C、96 D、128 98、以下哪种加密方式在中央节点处需要解密？B A、节点加密B、链路加密C、端到端加密精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 13 页，共 14 页 - - - - - - - - - - 此文档来源于网络，如有侵权请联系网站删除只供学习交流用D、应用层加密99、 MD5产生的散列值是多少位？CA、56 B、64 C、128 D、160 100、SHA-1产生的散列值是多少位？DA、56 B、64 C、128 D、160 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 14 页，共 14 页 - - - - - - - - - -