CISP整理試題及答案

1、在橙皮書的概念中，信任是存在于以下哪一項中的？A. 操作系統(tǒng)B. 網(wǎng)絡(luò)C. 數(shù)據(jù)庫D. 應(yīng)用程序系統(tǒng)答案:A下述攻擊手段中不屬于DOS攻擊的是：（）A. Smurf 攻擊B. Land攻擊C. Teardrop 攻擊D. CGI溢岀攻擊答案：D,“中華人民共和國保守國家秘密法”第二章規(guī)定了國家秘密的范圍和密級，國家秘密的密級為：()A.“普密”、“商密”兩個級別B.“低級”和“高級”兩個級別C.“絕密”、“機密”、“秘密”三個級別D.“一密、“二密”、“三密”、“四密”四個級別答案：CoA.集成測單元測系統(tǒng)測驗收測試B.試、試、系試、驗收測試C.單元測統(tǒng)測試、集成測系統(tǒng)測試D試、驗單元測試、集

2、驗收測應(yīng)用軟件測試的正確試序是 集:成測試、答案：選項Do多層的 最適合做數(shù)據(jù)中心的位A樓 房一樓,B. 地下室C. 頂樓D. 除以上外的任何樓層答案：Do是是：隨著全球信息化的發(fā)展，信息安全成了網(wǎng)絡(luò)時代的熱點，為了保證我國信息產(chǎn)業(yè)的發(fā)展與安 全，必須加強對信息安全產(chǎn)品、系統(tǒng)、服務(wù)的測評認證，中國信息安全產(chǎn)品測評認證中心正 由國家授權(quán)從事測評認證的國家級測評認證實體機構(gòu)，以下對其測評認證工作的錯誤認識A, 測評與認證是兩個不同概念，信息安全產(chǎn)品或系統(tǒng)認證需經(jīng)過申請、測試、評估，認證 系列環(huán)節(jié)。B. 認證公告將在一些媒體上定期發(fā)布，只有通過認證的產(chǎn)品才會向公告、測試中或沒有通 測試的產(chǎn)品不再公告

3、之列。C. 對信息安全產(chǎn)品的測評認證制度是我國按照WTO規(guī)則建立的技術(shù)壁壘的管理體制D, 通過測試認證達到中心認證標準的安全產(chǎn)品或系統(tǒng)完全消除了安全風險。答案：Do計算機安全事故發(fā)生時，下列哪些人不被通知或者最后才被通知：A, 系統(tǒng)管理員B. 律師C. 恢復(fù)協(xié)調(diào)員D, 硬件和軟件廠商答案： Bo下面的哪種組合都屬于多邊安全模型？A. TCSEC和 Bell-LaPadulaB. Chinese Wall 和 BMAC. TCSEC和 Clark-WilsonD. Chinese Wall 和 Biba答案： Bo下面哪種方法可以替代電子銀行中的個人標識號（PINs ）的作用？A. 虹膜檢測技術(shù)

4、B. 語音標識技術(shù)C. 筆跡標識技術(shù)D. 指紋標識技術(shù)答案： A?拒絕服務(wù)攻擊損害了信息系統(tǒng)的哪一項性能？A, 完整性B, 可用性C, 保密性D, 可靠性答案： Bo下列哪一種模型運用在JAVA安全模型中：A. 白盒模型B. 黑盒模型C. 沙箱模型D. 灰盒模型答案： C?以下哪一個協(xié)議是用于電子郵件系統(tǒng)的？A. X.25B. X.75C. X.400D. X.500答案： C?“如果一條鏈路發(fā)生故障，那么只有和該鏈路相連的終端才會受到影響”，這一說法是適合以下哪一種拓撲結(jié)構(gòu)的網(wǎng)絡(luò)的？A. 星型B. 樹型C. 環(huán)型D. 復(fù)合型答案： A?在一個局域網(wǎng)的環(huán)境中，其內(nèi)在的安全威脅包括主動威脅和被動

5、威脅。以下哪一項屬于被動 脅？A. 報文服務(wù)拒絕B. 假冒C. 數(shù)據(jù)流分析D. 報文服務(wù)更改答案： C?Chinese Wall 模型的設(shè)計宗旨是：A. 用戶只能訪問那些與已經(jīng)擁有的信息不沖突的信息B. 用戶可以訪問所有信息C. 用戶可以訪問所有已經(jīng)選擇的信息D. 用戶不可以訪問那些沒有選擇的信息答案： A?ITSEC中的F1-F5對應(yīng)TCSEC中哪幾個級別？A.D 到B2B.C2 到B3C.C1 到B3D.C2 至U A1答案： C?下面哪一個是國家推薦性標準？A. GB/T 18020-1999 應(yīng)用級防火墻安全技術(shù)要求B. SJ/T 30003-93 電子計算機機房施工及驗收規(guī)范C. G

6、A 243-2000 計算機病毒防治產(chǎn)品評級準則D. ISO/IEC 15408-1999 信息技術(shù)安全性評估準則 答案： A?密碼處理依靠使用密鑰，密鑰是密碼系統(tǒng)里的最重要因素。以下哪一個密鑰算法在加密數(shù)據(jù) 與解密時使用相同的密鑰？A. 對稱的公鑰算法B. 非對稱私鑰算法C. 對稱密鑰算法D. 非對稱密鑰算法 答案： C?在執(zhí)行風險分析的時候，預(yù)期年度損失（ALE）的計算是：A, 全部損失乘以發(fā)生頻率B. 全部損失費用 +實際替代費用C, 單次預(yù)期損失乘以發(fā)生頻率D. 資產(chǎn)價值乘以發(fā)生頻率答案： C? 作為業(yè)務(wù)持續(xù)性計劃的一部分，在進行風險評價的時候的步驟是：1. 考慮可能的威脅2. 建立恢

7、復(fù)優(yōu)先級3. 評價潛在的影響4. 評價緊急性需求A. 1-3-4-2B. 1-3-2-4C. 1-2-3-4D. 1-4-3-2答案：AoCC中安全功能/保證要求的三層結(jié)構(gòu)是（按照由大到小的順序）：A. 類、子類、組件B. 組件、子類、元素C. 類、子類、元素D. 子類、組件、元素答案：Ao有三種基本的鑒別的方式：你知道什么，你有什么，以及：A. 你需要什么B. 你看到什么C. 你是什么D. 你做什么答案：C。為了有效的完成工作，信息系統(tǒng)安全部門員工最需要以下哪一項技能A. 人際關(guān)系技能B. 項目管理技能C. 技術(shù)技能D. 溝通技能答案：Do以下哪一種人給公司帶來了最大的安全風險？A. 臨時工

8、B. 咨詢?nèi)藛TC. 以前的員工D. 當前的員工答案：DoSSL提供哪些協(xié)議上的數(shù)據(jù)安全：A. HTTP, FTP和 TCP/IPB. SKIP, SNMP和口 IPC. UDP, VPN 和口 SONETD. PPTP, DMI 和口 RC4答案：A?在Windows 2000中可以察看開放端口情況的是：A. nbtstatB. netC. net showD. n etstat答案：DoSMTP連接服務(wù)器使用端口A. 21B. 25C. 80D. 110答案：選項Bo在計算機中心，下列哪一項是磁介質(zhì)上信息擦除的最徹底形式？A. 清除B. 凈化C. 刪除D. 破壞答案：Do以下哪一種算法產(chǎn)生最

9、長的密鑰？A. Diffe-HellmanB. DESC. IDEAD. RSA答案：Do下面哪一種風險對電子商務(wù)系統(tǒng)來說是特殊的？A. 服務(wù)中斷B. 應(yīng)用程序系統(tǒng)欺騙C. 未授權(quán)的信息泄漏D. 確認信息發(fā)送錯誤答案：Do以下哪一項不屬于惡意代碼？A. 病毒B. 蠕蟲C. 宏D. 特洛伊木馬答案：C?下列哪項不是信息系統(tǒng)安全工程能力成熟度模型(SSE-CMM)的主要過程：A, 風險過程B, 保證過程C, 工程過程D, 評估過程答案：D目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，多頭管理現(xiàn)狀決定法岀多門計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定是由下列哪個部門所制定的規(guī)章制度？A, 公安部B

10、, 國家保密局C, 信息產(chǎn)業(yè)部D, 國家密碼管理委員會辦公室答案：Bo為了保護DNS的區(qū)域傳送(zone transfer)，你應(yīng)該配置防火墻以阻止1. UDP2. TCP3. 534. 52A. 1,3B. 2, 3C. 1,4D. 2, 4答案：Bo在選擇外部供貨生產(chǎn)商時，評價標準按照重要性的排列順序是1供貨商與信息系統(tǒng)部門的接近程度2供貨商雇員的態(tài)度3供貨商的信譽、專業(yè)知識、技術(shù)4供貨商的財政狀況和管理情況A4,3,1,2B3,4,2,1C3,2,4,1D1,2,3,4答案：Bo機構(gòu)應(yīng)該把信息系統(tǒng)安全看作：A, 業(yè)務(wù)中心B, 風險中心C. 業(yè)務(wù)促進因素D. 業(yè)務(wù)抑制因素答案：C?輸入控制

11、的目的是確保：A, 對數(shù)據(jù)文件訪問的授權(quán)B, 對程序文件訪問的授權(quán)C. 完全性、準確性、以及更新的有效性D. 完全性、準確性、以及輸入的有效性 答案：選項Do以下哪個針對訪問控制的安全措施是最容易使用和管理的？A, 密碼B, 加密標志C. 硬件加密D. 加密數(shù)據(jù)文件答案：C?下面哪種通信協(xié)議可以利用IPSEC的安全功能？I. TCPII. UDPIII. FTPA. 只有IB. I 和 IIC. II 和 IIID. I II III答案：Do以下哪一種模型用來對分級信息的保密性提供保護？A. Biba 模型和 Bell-LaPadula 模型B. Bell-LaPadula模型和信息流模型C

12、. Bell-LaPadula 模型和 Clark-Wilson 模型D. Clark-Wilson模型和信息流模型答案：Bo下列哪一項能夠提高網(wǎng)絡(luò)的可用性？A, 數(shù)據(jù)冗余B, 鏈路冗余C, 軟件冗余D, 電源冗余答案：選項Bo為了阻止網(wǎng)絡(luò)假冒，最好的方法是通過使用以下哪一種技術(shù)？A. 回撥技術(shù)B. 呼叫轉(zhuǎn)移技術(shù)C. 只采用文件加密D. 回撥技術(shù)加上數(shù)據(jù)加密答案：D,一下那一項是基于一個大的整數(shù)很難分解成兩個素數(shù)因數(shù)？A. ECCB. RSAC. DESD. Diffie-Hellman答案：Bo下面哪一項是對IDS的正確描述？A. 基于特征(Signature-based)的系統(tǒng)可以檢測新的

13、攻擊類型B. 基于特征(Signature-based)的系統(tǒng)比基于行為 (behavior-based)的系統(tǒng)產(chǎn)生更多的誤報C. 基于行為(behavior-based)的系統(tǒng)維護狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配DoD. 基于行為(behavior-based)的系統(tǒng)比基于特征(Signature-based)的系統(tǒng)有更高的誤報答案:ISO 9000標準系列著重于以下哪一個方面？A. 產(chǎn)品B. 加工處理過程C. 原材料D. 生產(chǎn)廠家答案：B下列哪項是私有IP地址？A.B.C.D.答案：A以下哪一項是和電子郵件系統(tǒng)無關(guān)的？A. PEM (Privacy enhanced mail)B. PGP

14、 (Pretty good privacy)C. X.500D. X.400答案：Co系統(tǒng)管理員屬于A. 決策層B. 管理層C. 執(zhí)行層D. 既可以劃為管理層，又可以劃為執(zhí)行層答案：C。法？責進行破為了保護企業(yè)的知識產(chǎn)權(quán)和其它資產(chǎn)，當終止與員工的聘用關(guān)系時下面哪一項是最好的方A. 進行離職談話，讓員工簽署保密協(xié)議，禁止員工賬號，更改密碼B. 進行離職談話，禁止員工賬號，更改密碼C. 讓員工簽署跨邊界協(xié)議D. 列岀員工在解聘前需要注意的所有責任答案：A。職責分離是信息安全管理的一個基本概念。其關(guān)鍵是權(quán)力不能過分集中在某一個人手中。職 分離的目的是確保沒有單獨的人員(單獨進行操作)可以對應(yīng)用程序系

15、統(tǒng)特征或控制功能壞。當以下哪一類人員訪問安全系統(tǒng)軟件的時候，會造成對“職責分離”原則的違背？A. 數(shù)據(jù)安全管理員B. 數(shù)據(jù)安全分析員C. 系統(tǒng)審核員D. 系統(tǒng)程序員答案：Do下面哪一種攻擊方式最常用于破解口令？A, 哄騙(spoofing)B, 字典攻擊(dictionary attack)C. 拒絕服務(wù)(DoS)D. Win Nuk答案：Bo下面哪一項組成了 CIA三元組？A, 保密性，完整性，保障B, 保密性，完整性，可用性C. 保密性，綜合性，保障D. 保密性，綜合性，可用性 答案：BoIntranet沒有使用以下哪一項?A. Java編程語言B. TCP/IP 協(xié)議C. 公眾網(wǎng)絡(luò)D.

16、電子郵件 答案：C?TCP三次握手協(xié)議的第一步是發(fā)送一個:A. SYN 包B. ACK 包C. UDP 包D. null 包 答案： Ao 在企業(yè)內(nèi)部互聯(lián)網(wǎng)中，一個有效的安全控制機制是：A, 復(fù)查B, 靜態(tài)密碼C. 防火墻D. 動態(tài)密碼 答案： Co 從安全的角度來看，運行哪一項起到第一道防線的作用：A, 遠端服務(wù)器B. Web 服務(wù)器C. 防火墻D, 使用安全 shell 程序 答案： Co 對于一個機構(gòu)的高級管理人員來說，關(guān)于信息系統(tǒng)安全操作的最普遍的觀點是A, 費用中心 B, 收入中心C. 利潤中心 D. 投資中心 一個數(shù)據(jù)倉庫中發(fā)生了安全性破壞。以下哪一項有助于安全調(diào)查的進行？答案：A

17、oA. 訪問路徑B. 時戳C. 數(shù)據(jù)定義D. 數(shù)據(jù)分類 答案： Bo 在客戶 / 服務(wù)器系統(tǒng)中，安全方面的改進應(yīng)首先集中在：A. 應(yīng)用軟件級B. 數(shù)據(jù)庫服務(wù)器級C. 數(shù)據(jù)庫級D. 應(yīng)用服務(wù)器級 答案：選項 C。 下面哪種方法產(chǎn)生的密碼是最難記憶的？A, 將用戶的生日倒轉(zhuǎn)或是重排B, 將用戶的年薪倒轉(zhuǎn)或是重排C, 將用戶配偶的名字倒轉(zhuǎn)或是重排D, 用戶隨機給出的字母 答案： Do 從風險分析的觀點來看，計算機系統(tǒng)的最主要弱點是：A, 內(nèi)部計算機處理B, 系統(tǒng)輸入輸出C, 通訊和網(wǎng)絡(luò)D, 外部計算機處理答案： Bo 下列哪一個說法是正確的？A, 風險越大，越不需要保護B, 風險越小，越需要保護C,

18、 風險越大，越需要保護D, 越是中等風險，越需要保護答案： Co在OSI參考模型中有7個層次，提供了相應(yīng)的安全服務(wù)來加強信息系統(tǒng)的安全性。以下哪一 層提供了抗抵賴性？A. 表示層B. 應(yīng)用層C. 傳輸層D. 數(shù)據(jù)鏈路層答案： B保護輪廓(PP)是下面哪一方提岀的安全要求？A. 評估方B. 開發(fā)方C. 用戶方D. 制定標準方答案： C? 在信息安全策略體系中，下面哪一項屬于計算機或信息安全的強制性規(guī)則？A, 標準 ( Standard)B, 安全策略 (Security policy)C. 方針 (Guideline)D. 流程 (Procedure ) 答案： A?軟件的供應(yīng)商或是制造商可以在

19、他們自己的產(chǎn)品中或是客戶的計算機系統(tǒng)上安裝一個“后門” 程序。以下哪一項是這種情況面臨的最主要風險？A. 軟件中止和黑客入侵B. 遠程監(jiān)控和遠程維護C, 軟件中止和遠程監(jiān)控D, 遠程維護和黑客入侵 答案： A?從風險的觀點來看，一個具有任務(wù)緊急性，核心功能性的計算機應(yīng)用程序系統(tǒng)的開發(fā)和維護 項目應(yīng)該：A, 內(nèi)部實現(xiàn)B, 外部采購實現(xiàn)C. 合作實現(xiàn)D. 多來源合作實現(xiàn) 答案：選項 A。操作應(yīng)用系統(tǒng)由于錯誤發(fā)生故障。下列哪個控制是最沒有用的？A. 錯誤總計B. 日志C. 檢查點控制D. 恢復(fù)記錄答案：選項A。在許多組織機構(gòu)中，產(chǎn)生總體安全性問題的主要原因是：A, 缺少安全性管理B, 缺少故障管理C

20、. 缺少風險分析D. 缺少技術(shù)控制機制答案：Ao如果對于程序變動的手工控制收效甚微，以下哪一種方法將是最有效的？A. 自動軟件管理B. 書面化制度C. 書面化方案D. 書面化標準答案：Ao以下人員中，誰負有決定信息分類級別的責任？A. 用戶B. 數(shù)據(jù)所有者C. 審計員D. 安全官答案：Bo當為計算機資產(chǎn)定義保險覆蓋率時，下列哪一項應(yīng)該特別考慮？A. 已買的軟件B. 定做的軟件C. 硬件D. 數(shù)據(jù)答案：Do以下哪一項安全目標在當前計算機系統(tǒng)安全建設(shè)中是最重要的？A. 目標應(yīng)該具體B, 目標應(yīng)該清晰C. 目標應(yīng)該是可實現(xiàn)的D, 目標應(yīng)該進行良好的定義答案：C?哪一項描述了使用信息鑒權(quán)碼(MAC)和

21、數(shù)字簽名之間的區(qū)別？A. 數(shù)字簽名通過使用對稱密鑰提供系統(tǒng)身份鑒別。B. 數(shù)據(jù)來源通過在 MAC中使用私鑰來提供。C. 因為未使用私鑰，MAC只能提供系統(tǒng)鑒別而非用戶身份鑒別。D. 數(shù)字簽名使用私鑰和公鑰來提供數(shù)據(jù)來源和系統(tǒng)及用戶鑒別。答案：C?(security label) 的?在桔皮書(the Orange Book)中，下面級別中哪一項是第一個要求使用安全標簽A. B3B. B2C. C2D. D答案：Bo數(shù)據(jù)庫視圖用于？A. 確保相關(guān)完整性B. 方便訪問數(shù)據(jù)C. 限制用戶對數(shù)據(jù)的訪問.D. 提供審計跟蹤答案：C。下面哪一項最好地描述了風險分析的目的?A.識別用于保護資產(chǎn)的責任義務(wù)和規(guī)

22、章制度B.識別資產(chǎn)以及保護資產(chǎn)所使用的技術(shù)控制措施C.識別資產(chǎn)、脆弱性并計算潛在的風險D.識別同責任義務(wù)有直接關(guān)系的威脅答案:C?KerBeros算法是一個A.面向訪冋的保護系統(tǒng)B.面向票據(jù)的保護系統(tǒng)C.面向列表的保護系統(tǒng)D.面向門與鎖的保護系統(tǒng)答案:Bo下面哪一項不是主機型入侵檢測系統(tǒng)的優(yōu)點？A.性能價格比高B.視野集中C.敏感細膩D.占資源少答案:Do以下哪一項是偽裝成有用程序的惡意軟件？A.計算機病毒B.特洛伊木馬C.邏輯炸彈D.蠕蟲程序答案:Bo計算機病毒會對下列計算機服務(wù)造成威脅，除了：A,完整性B,有效性C.保密性D.可用性答案:C?以下哪一種局域網(wǎng)傳輸媒介是最可靠的？A,同軸電纜

23、B,光纖C.雙絞線（屏蔽）D. 雙絞線（非屏蔽）答案： Bo 以下哪一項計算機安全程序的組成部分是其它組成部分的基礎(chǔ)？A. 制度和措施B. 漏洞分析C. 意外事故處理計劃D. 采購計劃 答案： Ao 描述系統(tǒng)可靠性的主要參數(shù)是：A, 平均修復(fù)時間和平均故障間隔時間B, 冗余的計算機硬件C. 備份設(shè)施D. 應(yīng)急計劃答案： Ao對不同的身份鑒別方法所提供的防止重用攻擊的功效，按照從大到小的順序，以下排列正確 的 是：A, 僅有密碼，密碼及個人標識號（PIN）, 口令響應(yīng)，一次性密碼B, 密碼及個人標識號 （PIN） , 口令響應(yīng)，一次性密碼，僅有密碼C. 口令響應(yīng)，一次性密碼，密碼及個人標識號（P

24、IN）,僅有密碼D. 口令響應(yīng)，密碼及個人標識號 （ PIN） , 一次性密碼，僅有密碼 答案： C?密碼分析的目的是什么？A, 確定加密算法的強度B, 增加加密算法的代替功能C. 減少加密算法的換位功能D. 確定所使用的換位答案： A?RSA與DSA相比的優(yōu)點是什么？A, 它可以提供數(shù)字簽名和加密功能B, 由于使用對稱密鑰它使用的資源少加密速度快C. 前者是分組加密后者是流加密D. 它使用一次性密碼本答案： A?按照SSE-CMM,能力級別第三級是指：A. 定量控制B. 計劃和跟蹤C. 持續(xù)改進D. 充分定義 答案： Do 下面選項中不屬于數(shù)據(jù)庫安全模型的是：A, 自主型安全模型B, 強制型安