CISP模擬考試試題及答案(5)

1、模擬題51. 在橙皮書的概念中，信任是存在于以下哪一項中的？A.操作系統B.網絡C.數據庫D.應用程序系統答案：A備注：標準和法規(guī)（TCSEC）2. 下述攻擊手段中不屬于DOS攻擊的是: （ ）A.Smurf攻擊B.Land攻擊C.Teardrop攻擊D.CGI溢出攻擊答案：D。3. “中華人民共和國保守國家秘密法”第二章規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為：（ ）A.“普密”、“商密” 兩個級別B.“低級”和“高級”兩個級別C.“絕密”、“機密”、“秘密” 三個級別D.“一密”、“二密”、“三密”、“四密”四個級別答案：C。4. 應用軟件測試的正確順序是：A.集成測試、單元測試、系

2、統測試、驗收測試B.單元測試、系統測試、集成測試、驗收測試C.驗收測試、單元測試、集成測試、系統測試D.單元測試、集成測試、系統測試、驗收測試答案：選項D。5. 多層的樓房中，最適合做數據中心的位置是：A.一樓B.地下室C.頂樓D.除以上外的任何樓層答案：D。6. 隨著全球信息化的發(fā)展，信息安全成了網絡時代的熱點，為了保證我國信息產業(yè)的發(fā)展與安全，必須加強對信息安全產品、系統、服務的測評認證，中國信息安全產品測評認證中心正是由國家授權從事測評認證的國家級測評認證實體機構，以下對其測評認證工作的錯誤認識是： A.測評與認證是兩個不同概念，信息安全產品或系統認證需經過申請、測試、評估，認證一系列環(huán)

3、節(jié)。B.認證公告將在一些媒體上定期發(fā)布，只有通過認證的產品才會向公告、測試中或沒有通過測試的產品不再公告之列。C.對信息安全產品的測評認證制度是我國按照WTO規(guī)則建立的技術壁壘的管理體制。D.通過測試認證達到中心認證標準的安全產品或系統完全消除了安全風險。答案：D。7. 計算機安全事故發(fā)生時，下列哪些人不被通知或者最后才被通知：A.系統管理員B.律師C.恢復協調員D.硬件和軟件廠商答案：B。8. 下面的哪種組合都屬于多邊安全模型？ A.TCSEC 和 Bell-LaPadulaB.Chinese Wall 和 BMAC.TCSEC 和 Clark-WilsonD.Chinese Wall 和

4、Biba答案：B。9. 下面哪種方法可以替代電子銀行中的個人標識號（PINs）的作用？A.虹膜檢測技術B.語音標識技術C.筆跡標識技術D.指紋標識技術答案：A。備注：安全技術訪問控制（標識和鑒別）10. 拒絕服務攻擊損害了信息系統的哪一項性能？A.完整性B.可用性C.保密性D.可靠性答案：B。備注：安全技術安全攻防實踐11. 下列哪一種模型運用在JAVA安全模型中：A.白盒模型B.黑盒模型C.沙箱模型D.灰盒模型答案：C。備注：信息安全架構和模型12. 以下哪一個協議是用于電子郵件系統的？A.X.25B.X.75C.X.400D.X.500答案：C。備注：安全技術ICT信息和通信技術-應用安全

5、（電子郵件）13. “如果一條鏈路發(fā)生故障，那么只有和該鏈路相連的終端才會受到影響”，這一說法是適合于以下哪一種拓撲結構的網絡的？A.星型B.樹型C.環(huán)型D.復合型答案：A。備注：安全技術ICT信息和通信技術14. 在一個局域網的環(huán)境中，其內在的安全威脅包括主動威脅和被動威脅。以下哪一項屬于被動威脅？A.報文服務拒絕B.假冒C.數據流分析D.報文服務更改答案：C。備注：安全技術安全攻防實踐15. Chinese Wall模型的設計宗旨是：A.用戶只能訪問那些與已經擁有的信息不沖突的信息B.用戶可以訪問所有信息C.用戶可以訪問所有已經選擇的信息D.用戶不可以訪問那些沒有選擇的信息答案：A。備注：

6、（PT）信息安全架構和模型-（BD）安全模型-（KA）強制訪問控制（MAC）模型-（SA）Chinese Wall模型，基本概念理解16. ITSEC中的F1-F5對應TCSEC中哪幾個級別？A.D到B2B.C2到B3C.C1到B3D.C2到A1答案：C。備注：（PT）信息安全標準和法律法規(guī)-（BD）信息安全標準-（KA）信息安全技術測評標準，概念記憶。17. 下面哪一個是國家推薦性標準？A.GB/T 18020-1999 應用級防火墻安全技術要求B.SJ/T 30003-93 電子計算機機房施工及驗收規(guī)范C.GA 243-2000 計算機病毒防治產品評級準則D.ISO/IEC 15408-1

7、999 信息技術安全性評估準則答案：A。備注：（PT）信息安全標準和法律法規(guī)-（BD）信息安全法律法規(guī)。18. 密碼處理依靠使用密鑰，密鑰是密碼系統里的最重要因素。以下哪一個密鑰算法在加密數據與解密時使用相同的密鑰？A.對稱的公鑰算法B.非對稱私鑰算法C.對稱密鑰算法D.非對稱密鑰算法答案：C。備注：（PT）安全技術-（BD）信息安全機制-（KA）密碼技術和應用，基本概念理解。19. 在執(zhí)行風險分析的時候，預期年度損失（ALE）的計算是：A.全部損失乘以發(fā)生頻率B.全部損失費用+實際替代費用C.單次預期損失乘以發(fā)生頻率D.資產價值乘以發(fā)生頻率答案：C。備注：（PT）安全管理-（BD）關鍵安全管

8、理過程-（KA）風險評估，基本概念。20. 作為業(yè)務持續(xù)性計劃的一部分，在進行風險評價的時候的步驟是：1.考慮可能的威脅2.建立恢復優(yōu)先級3.評價潛在的影響4.評價緊急性需求A.1-3-4-2B.1-3-2-4C.1-2-3-4D.1-4-3-2答案：A。備注：安全管理業(yè)務持續(xù)性計劃21. CC中安全功能/保證要求的三層結構是（按照由大到小的順序）： A.類、子類、組件B.組件、子類、元素C.類、子類、元素D.子類、組件、元素答案：A。備注：（PT）信息安全標準和法律法規(guī)-（BD）信息安全標準-（KA）信息安全技術測評標準-（SA）CC，概念。22. 有三種基本的鑒別的方式: 你知道什么，你有

9、什么， 以及：A.你需要什么B.你看到什么C.你是什么D.你做什么答案：C。備注：（PT）安全技術-（BD）信息安全機制-（KA）訪問控制系統23. 為了有效的完成工作，信息系統安全部門員工最需要以下哪一項技能？A.人際關系技能B.項目管理技能C.技術技能D.溝通技能答案：D。備注：（PT）安全管理-（BD）組織機構和人員保障，概念。24. 以下哪一種人給公司帶來了最大的安全風險？A.臨時工B.咨詢人員C.以前的員工D.當前的員工答案：D。備注：（PT）安全管理-（BD）組織機構和人員保障，概念。25. SSL提供哪些協議上的數據安全：A.HTTP，FTP和TCP/IPB.SKIP，SNMP和

10、IPC.UDP，VPN和SONETD.PPTP，DMI和RC4答案：A。26. 在Windows 2000中可以察看開放端口情況的是：A.nbtstatB.netC.net showD.netstat答案：D。27. SMTP連接服務器使用端口A.21B.25C.80D.110答案：選項B。備注：PT-安全技術-BD-信息和通信技術（ICT）安全-KA-電信和網絡安全，基本概念。28. 在計算機中心，下列哪一項是磁介質上信息擦除的最徹底形式?A.清除B.凈化C.刪除D.破壞答案：D。備注：（PT）安全管理-（BD）生命周期安全管理-（KA）廢棄管理29. 以下哪一種算法產生最長的密鑰？ A.D

11、iffe-HellmanB.DESC.IDEA D.RSA答案：D。30. 下面哪一種風險對電子商務系統來說是特殊的？A.服務中斷B.應用程序系統欺騙C.未授權的信息泄漏D.確認信息發(fā)送錯誤答案：D。31. 以下哪一項不屬于惡意代碼？ A.病毒B.蠕蟲C.宏D.特洛伊木馬答案：C。32. 下列哪項不是信息系統安全工程能力成熟度模型（SSE-CMM）的主要過程：A.風險過程B.保證過程C.工程過程D.評估過程答案：D33. 目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，多頭管理現狀決定法出多門，計算機信息系統國際聯網保密管理規(guī)定是由下列哪個部門所制定的規(guī)章制度？ A.公安部B.國家保密

12、局C.信息產業(yè)部D.國家密碼管理委員會辦公室答案：B。34. 為了保護DNS的區(qū)域傳送（zone transfer），你應該配置防火墻以阻止1.UDP2.TCP3.534.52A.1，3B.2，3C.1，4D.2，4答案：B。備注：（PT）信息安全技術-（BD）安全實踐，安全技術實踐綜合，網絡安全和DNS應用安全。35. 在選擇外部供貨生產商時，評價標準按照重要性的排列順序是：1.供貨商與信息系統部門的接近程度2.供貨商雇員的態(tài)度3.供貨商的信譽、專業(yè)知識、技術4.供貨商的財政狀況和管理情況A.4，3，1，2B.3，4，2，1C.3，2，4，1D.1，2，3，4答案：B。36. 機構應該把信息

13、系統安全看作：A.業(yè)務中心B.風險中心C.業(yè)務促進因素D.業(yè)務抑制因素答案：C。37. 輸入控制的目的是確保：A.對數據文件訪問的授權B.對程序文件訪問的授權C.完全性、準確性、以及更新的有效性D.完全性、準確性、以及輸入的有效性答案：選項D。38. 以下哪個針對訪問控制的安全措施是最容易使用和管理的？A.密碼B.加密標志C.硬件加密D.加密數據文件答案：C。39. 下面哪種通信協議可以利用IPSEC的安全功能？I. TCPII. UDPIII. FTPA.只有IB.I 和 IIC.II 和 IIID.I II III答案：D。40. 以下哪一種模型用來對分級信息的保密性提供保護？A.Biba

14、模型和Bell-LaPadula模型B.Bell-LaPadula模型和信息流模型C.Bell-LaPadula模型和Clark-Wilson模型D.Clark-Wilson模型和信息流模型答案：B。備注：（PT）信息安全架構和模型-（BD）安全模型-（KA）強制訪問控制（MAC）模型，基本概念理解41. 下列哪一項能夠提高網絡的可用性？A.數據冗余B.鏈路冗余C.軟件冗余D.電源冗余答案：選項B。備注：（PT）安全技術-（BD）信息和通信技術（ICT）安全-（KA）電信和網絡安全，基本概念。42. 為了阻止網絡假冒，最好的方法是通過使用以下哪一種技術？A.回撥技術B.呼叫轉移技術C.只采用文

15、件加密D.回撥技術加上數據加密答案：D。43. 一下那一項是基于一個大的整數很難分解成兩個素數因數？ A.ECCB.RSAC.DESD.Diffie-Hellman答案：B。44. 下面哪一項是對IDS的正確描述？ A.基于特征（Signature-based）的系統可以檢測新的攻擊類型B.基于特征（Signature-based）的系統比基于行為（behavior-based）的系統產生更多的誤報C.基于行為（behavior-based）的系統維護狀態(tài)數據庫來與數據包和攻擊相匹配D.基于行為（behavior-based）的系統比基于特征（Signature-based）的系統有更高的誤報

16、答案：D。45. ISO 9000標準系列著重于以下哪一個方面？A.產品B.加工處理過程C.原材料D.生產廠家答案：B46. 下列哪項是私有IP地址? A. B. C. D. 答案：A47. 以下哪一項是和電子郵件系統無關的？A.PEM（Privacy enhanced mail）B.PGP（Pretty good privacy）C.X.500D.X.400答案：C。48. 系統管理員屬于A.決策層B.管理層C.執(zhí)行層D.既可以劃為管理層，又可以劃為執(zhí)行層答案：C。49. 為了保護企業(yè)的知識產權和其它資產，當

17、終止與員工的聘用關系時下面哪一項是最好的方法？ A.進行離職談話，讓員工簽署保密協議，禁止員工賬號，更改密碼B.進行離職談話，禁止員工賬號，更改密碼C.讓員工簽署跨邊界協議D.列出員工在解聘前需要注意的所有責任答案：A。50. 職責分離是信息安全管理的一個基本概念。其關鍵是權力不能過分集中在某一個人手中。職責分離的目的是確保沒有單獨的人員（單獨進行操作）可以對應用程序系統特征或控制功能進行破壞。當以下哪一類人員訪問安全系統軟件的時候，會造成對“職責分離”原則的違背？ A.數據安全管理員B.數據安全分析員C.系統審核員D.系統程序員答案：D。51. 下面哪一種攻擊方式最常用于破解口令？ A.哄騙

18、（spoofing）B.字典攻擊（dictionary attack）C.拒絕服務（DoS）D.WinNuk答案：B。52. 下面哪一項組成了CIA三元組？A.保密性，完整性，保障B.保密性，完整性，可用性 C.保密性，綜合性，保障D.保密性，綜合性，可用性答案：B。53. Intranet沒有使用以下哪一項？A.Java編程語言B.TCP/IP協議C.公眾網絡D.電子郵件答案：C。54. TCP 三次握手協議的第一步是發(fā)送一個: A.SYN包 B.ACK 包 C.UDP 包 D.null 包答案：A。55. 在企業(yè)內部互聯網中，一個有效的安全控制機制是：A.復查B.靜態(tài)密碼C.防火墻D.動態(tài)

19、密碼答案：C。56. 從安全的角度來看，運行哪一項起到第一道防線的作用：A.遠端服務器B.Web服務器C.防火墻D.使用安全shell程序答案：C。57. 對于一個機構的高級管理人員來說，關于信息系統安全操作的最普遍的觀點是：A.費用中心B.收入中心C.利潤中心D.投資中心答案：A。備注：安全管理概述58. 一個數據倉庫中發(fā)生了安全性破壞。以下哪一項有助于安全調查的進行？A.訪問路徑B.時戳C.數據定義D.數據分類答案：B。59. 在客戶/服務器系統中，安全方面的改進應首先集中在：A.應用軟件級B.數據庫服務器級C.數據庫級D.應用服務器級答案：選項C。60. 下面哪種方法產生的密碼是最難記憶

20、的？A.將用戶的生日倒轉或是重排B.將用戶的年薪倒轉或是重排C.將用戶配偶的名字倒轉或是重排D.用戶隨機給出的字母答案：D。61. 從風險分析的觀點來看，計算機系統的最主要弱點是：A.內部計算機處理B.系統輸入輸出C.通訊和網絡D.外部計算機處理答案：B。62. 下列哪一個說法是正確的？A.風險越大，越不需要保護B.風險越小，越需要保護C.風險越大，越需要保護D.越是中等風險，越需要保護答案：C。63. 在OSI參考模型中有7個層次，提供了相應的安全服務來加強信息系統的安全性。以下哪一層提供了抗抵賴性？A.表示層B.應用層C.傳輸層D.數據鏈路層答案：B備注：信息安全架構和模型64. 保護輪廓

21、（PP）是下面哪一方提出的安全要求？A.評估方B.開發(fā)方C.用戶方D.制定標準方答案：C。65. 在信息安全策略體系中，下面哪一項屬于計算機或信息安全的強制性規(guī)則？ A.標準（Standard）B.安全策略（Security policy）C.方針（Guideline）D.流程（Procedure）答案：A。66. 軟件的供應商或是制造商可以在他們自己的產品中或是客戶的計算機系統上安裝一個“后門”程序。以下哪一項是這種情況面臨的最主要風險？A.軟件中止和黑客入侵B.遠程監(jiān)控和遠程維護C.軟件中止和遠程監(jiān)控D.遠程維護和黑客入侵答案：A。67. 從風險的觀點來看，一個具有任務緊急性，核心功能性的

22、計算機應用程序系統的開發(fā)和維護項目應該：A.內部實現B.外部采購實現C.合作實現D.多來源合作實現答案：選項A。68. 操作應用系統由于錯誤發(fā)生故障。下列哪個控制是最沒有用的？A.錯誤總計B.日志C.檢查點控制D.恢復記錄答案：選項A。69. 在許多組織機構中，產生總體安全性問題的主要原因是：A.缺少安全性管理B.缺少故障管理C.缺少風險分析D.缺少技術控制機制答案：A。備注：PT-安全管理-BD-組織機構和人員保障，概念。70. 如果對于程序變動的手工控制收效甚微，以下哪一種方法將是最有效的？A.自動軟件管理B.書面化制度C.書面化方案D.書面化標準答案：A。71. 以下人員中，誰負有決定信

23、息分類級別的責任？ A.用戶B.數據所有者C.審計員D.安全官答案：B。72. 當為計算機資產定義保險覆蓋率時，下列哪一項應該特別考慮？A.已買的軟件B.定做的軟件C.硬件D.數據答案：D。73. 以下哪一項安全目標在當前計算機系統安全建設中是最重要的？A.目標應該具體B.目標應該清晰C.目標應該是可實現的D.目標應該進行良好的定義答案：C。74. 哪一項描述了使用信息鑒權碼（MAC）和數字簽名之間的區(qū)別？ A.數字簽名通過使用對稱密鑰提供系統身份鑒別。B.數據來源通過在MAC中使用私鑰來提供。C.因為未使用私鑰，MAC只能提供系統鑒別而非用戶身份鑒別。D.數字簽名使用私鑰和公鑰來提供數據來源

24、和系統及用戶鑒別。答案：C。75. 在桔皮書（the Orange Book）中，下面級別中哪一項是第一個要求使用安全標簽（security label）的？ A.B3B.B2C.C2D.D答案：B。76. 數據庫視圖用于? A.確保相關完整性 B.方便訪問數據 C.限制用戶對數據的訪問. D.提供審計跟蹤答案：C。77. 下面哪一項最好地描述了風險分析的目的？ A.識別用于保護資產的責任義務和規(guī)章制度B.識別資產以及保護資產所使用的技術控制措施C.識別資產、脆弱性并計算潛在的風險D.識別同責任義務有直接關系的威脅答案：C。78. KerBeros算法是一個A.面向訪問的保護系統B.面向票據的

25、保護系統C.面向列表的保護系統D.面向門與鎖的保護系統答案：B。79. 下面哪一項不是主機型入侵檢測系統的優(yōu)點？A.性能價格比高B.視野集中C.敏感細膩D.占資源少答案：D。備注：（PT）安全技術-（BD）信息和通信技術（ICT）安全-（KA）電信和網絡安全，基本概念。80. 以下哪一項是偽裝成有用程序的惡意軟件？A.計算機病毒B.特洛伊木馬C.邏輯炸彈D.蠕蟲程序 答案：B。備注：（PT）安全技術-（BD）信息和通信技術（ICT）安全-（KA）應用安全-（SA）惡意代碼81. 計算機病毒會對下列計算機服務造成威脅，除了：A.完整性B.有效性C.保密性D.可用性答案：C。備注：（PT）安全技術

26、-（BD）信息和通信技術（ICT）安全-（KA）應用安全-（SA）惡意代碼82. 以下哪一種局域網傳輸媒介是最可靠的？A.同軸電纜B.光纖C.雙絞線（屏蔽）D.雙絞線（非屏蔽）答案：B。83. 以下哪一項計算機安全程序的組成部分是其它組成部分的基礎？ A.制度和措施B.漏洞分析C.意外事故處理計劃D.采購計劃答案：A。84. 描述系統可靠性的主要參數是：A.平均修復時間和平均故障間隔時間B.冗余的計算機硬件C.備份設施D.應急計劃答案：A。85. 對不同的身份鑒別方法所提供的防止重用攻擊的功效，按照從大到小的順序，以下排列正確的是：A.僅有密碼，密碼及個人標識號（PIN），口令響應，一次性密碼

27、B.密碼及個人標識號（PIN），口令響應，一次性密碼，僅有密碼C.口令響應，一次性密碼，密碼及個人標識號（PIN），僅有密碼D.口令響應，密碼及個人標識號（PIN），一次性密碼，僅有密碼答案：C。備注：安全技術訪問控制系統86. 密碼分析的目的是什么？ A.確定加密算法的強度B.增加加密算法的代替功能C.減少加密算法的換位功能D.確定所使用的換位答案：A。87. RSA與DSA相比的優(yōu)點是什么？ A.它可以提供數字簽名和加密功能B.由于使用對稱密鑰它使用的資源少加密速度快C.前者是分組加密后者是流加密D.它使用一次性密碼本答案：A。88. 按照SSE-CMM， 能力級別第三級是指：A.定量控制B.計劃和跟蹤C.持續(xù)改進D.充分定義答案：D。89. 下面選項中不屬于數據庫安全模型的是：A.自主型安全模型B.強制型安全模型C.基于角色的模型D.訪問控制矩陣答案：C。90. CC中的評估保證級（EAL）分為多少級？A.6級B.7級C.5級D.4級答案：B。91. 覆蓋和消磁不用在對以下哪一種計算機