CISP整理試題及答案

1、1. 在橙皮書的概念中，信任是存在于以下哪一項中的? A. 操作系統(tǒng) B. 網(wǎng)絡(luò) C. 數(shù)據(jù)庫 D. 應(yīng)用程序系統(tǒng) 答案：A 2. 下述攻擊手段中不屬于DOS擊的是：（） A Smurf攻擊 B Land攻擊 C Teardrop攻擊 D CGI溢出攻擊 答案： Do 3. “中華人民共和國保守國家秘密法”第二章規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為：（ A. “普密”、 “商密” 兩個級別 B. “低級”和 “高級” 兩個級別 C. “絕密”、 “機密” 、“秘密”三個級別 D. “一密”、 “一密” 、“三密”、“四密”四個級別 答案：Co 4. 應(yīng)用軟件測試的正確順序是: A 集

2、 成 測試、 單元測試、 系統(tǒng)測試、 驗收測試 B 單 元 測試、 系統(tǒng)測試、 集成測試、 驗收測試 C 驗 收 測試、 單元測試、 集成測試、 系統(tǒng)測試 D 單 元 測試、 集成測試、 系統(tǒng)測試、 驗收測試 答案： 選項D。 5. 多層的樓房中，最適合做數(shù)據(jù)中心的位置是: A.一樓 B.地下室 C.頂樓 D.除以上外的任何樓層 答案：D。 6. 隨著全球信息化的發(fā)展，信息安全成了網(wǎng)絡(luò)時代的熱點，為了保證我國信息產(chǎn)業(yè)的發(fā)展與安全，必須加強對信息安全產(chǎn)品、系統(tǒng)、服務(wù)的測評認(rèn)證，中國信 息安全產(chǎn)品測評認(rèn)證中心正是由國家授權(quán)從事測評認(rèn)證的國家級測評認(rèn)證實體機構(gòu)，以下對其測評認(rèn)證工作的錯誤認(rèn)識是： A

3、. 測評與認(rèn)證是兩個不同概念，信息安全產(chǎn)品或系統(tǒng)認(rèn)證需經(jīng)過申請、測試、評估，認(rèn)證一系列環(huán)節(jié)。 B. 認(rèn)證公告將在一些媒體上定期發(fā)布，只有通過認(rèn)證的產(chǎn)品才會向公告、測試中或沒有通過測試的產(chǎn)品不再公告之列。 C. 對信息安全產(chǎn)品的測評認(rèn)證制度是我國按照WTO規(guī)則建立的技術(shù)壁壘的管理體制。 D. 通過測試認(rèn)證達到中心認(rèn)證標(biāo)準(zhǔn)的安全產(chǎn)品或系統(tǒng)完全消除了安全風(fēng)險。 答案：D。 7. 計算機安全事故發(fā)生時，下列哪些人不被通知或者最后才被通知： A.系統(tǒng)管理員 8. 律師 9. 恢復(fù)協(xié)調(diào)員 10. 硬件和軟件廠商 答案：Bo 8. 下面的哪種組合都屬于多邊安全模型？ A TCSEC和Bell-LaPadul

4、a B ChineseWall和BMA C TCSEC和Clark-Wilson D ChineseWall和Biba 答案： Bo 9. 下面哪種方法可以替代電子銀行中的個人標(biāo)識號（PINs）的作用？ A 虹膜檢測技術(shù) B 語音標(biāo)識技術(shù) C 筆跡標(biāo)識技術(shù) D 指紋標(biāo)識技術(shù) 答案： Ao 10. 拒絕服務(wù)攻擊損害了信息系統(tǒng)的哪一項性能? 可用性 C.保密性 D.可靠性 答案：Bo 11. 下列哪一種模型運用在JAVA安全模型中: A 白 盒 模型 B 黑 盒 模型 C 沙 箱 模型 D 灰 盒 模型 答案： Co 12. 以下哪一個協(xié)議是用于電子郵件系統(tǒng)的? B. A X.25 B X.75

5、C X.400 D X.500 答案： C。 13. “如果一條鏈路發(fā)生故障，那么只有和該鏈路相連的終端才會受到影響”，這一說法是適合于以下哪一種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)的? A 星型 B 樹型 C 環(huán)型 D 復(fù) 合型 答案： Ao 14. 在一個局域網(wǎng)的環(huán)境中，其內(nèi)在的安全威脅包括主動威脅和被動威脅。以下哪一項屬于被動威脅? A 報文服務(wù)拒絕 B 假冒 C 數(shù)據(jù)流分析 D 報文服務(wù)更改 答案： Co 15. ChineseWall模型的設(shè)計宗旨是： A. 用戶只能訪問那些與已經(jīng)擁有的信息不沖突的信息 B. 用戶可以訪問所有信息 C. 用戶可以訪問所有已經(jīng)選擇的信息 D. 用戶不可以訪問那些沒有選擇的信

6、息 答案：Ao 16. ITSEC中的F1-F5對應(yīng)TCSE3哪幾個級別？ A. D到B2 B. C2到B3 C. C1到B3 D. C2到A1 答案：C。 17. 下面哪一個是國家推薦性標(biāo)準(zhǔn)？ A.GB/T18020-1999應(yīng)用級防火墻安全技術(shù)要求 B. SJ/T30003-93電子計算機機房施工及驗收規(guī)范 C. GA243-2000計算機病毒防治產(chǎn)品評級準(zhǔn)則 D.ISO/IEC15408-1999信息技術(shù)安全性評估準(zhǔn)則 答案：Ao 18. 密碼處理依靠使用密鑰，密鑰是密碼系統(tǒng)里的最重要因素。以下哪一個密鑰算法在加密數(shù)據(jù)與解密時使用相同的密鑰? A. 對稱的公鑰算法 B. 非對稱私鑰算法

7、C. 對稱密鑰算法 D. 非對稱密鑰算法 答案：C。 19. 在執(zhí)行風(fēng)險分析的時候，預(yù)期年度損失（ALE）的計算是： A. 全部損失乘以發(fā)生頻率 B. 全部損失費用+實際替代費用 C. 單次預(yù)期損失乘以發(fā)生頻率 D. 資產(chǎn)價值乘以發(fā)生頻率 答案：C。 20. 作為業(yè)務(wù)持續(xù)性計劃的一部分，在進行風(fēng)險評價的時候的步驟是: 1 考慮可能的威脅 2 建立恢復(fù)優(yōu)先級 3 評價潛在的影響 4 評價緊急性需求 A 1-3-4-2 B 1-3-2-4 C 1-2-3-4 D 1-4-3-2 答案： Ao 21. CC中安全功能/保證要求的三層結(jié)構(gòu)是（按照由大到小的順序） A.類、子類、組件 B.組件、子類、元

8、素 C.類、子類、元素 D.子類、組件、元素 答案：A 22. 有三種基本的鑒別的方式：你知道什么，你有什么, A.你需要什么 B.你看到什么 C.你是什么 D.你做什么 答案：C。 23. 為了有效的完成工作，信息系統(tǒng)安全部門員工最需要以下哪一項技能? A 人際關(guān)系技能 B 項目管理技能 以及: C 技術(shù)技能 D 溝通技能 答案： D。 24. 以下哪一種人給公司帶來了最大的安全風(fēng)險? A 臨時工 B 咨詢?nèi)藛T C 以前的員工 D 當(dāng)前的員工 答案： Do 25. SSL提供哪些協(xié)議上的數(shù)據(jù)安全: A HTTP,FTP和TCP/IP B SKIP,SNMP和IP C UDP,VPN和SONE

9、T D PPTP,DMIRC4 答案： Ao 26. 在Windows2000中可以察看開放端口情況的是: A. nbtstat B. net C. netshow D. netstat 答案：D。 27. SMTP1接服務(wù)器使用端口 A 21 B 25 C 80 D 110 答案： B。 28. 在計算機中心，下列哪一項是磁介質(zhì)上信息擦除的最徹底形式 A.清除 B.凈化 C.刪除 D.破壞 答案：D。 29. 以下哪一種算法產(chǎn)生最長的密鑰? A Diffe-Hellm B DES C IDEA D RSA 答案： Do 30. 下面哪一種風(fēng)險對電子商務(wù)系統(tǒng)來說是特殊的? A.服務(wù)中斷 B.應(yīng)

10、用程序系統(tǒng)欺騙 C.未授權(quán)的信息泄漏 D.確認(rèn)信息發(fā)送錯誤 答案：D 31. 以下哪一項不屬于惡意代碼? A 病毒 B 蠕蟲 C 宏 D 特 洛 伊 木馬 答案： C。 32. 下列哪項不是信息系統(tǒng)安全工程能力成熟度模型(SSE-CMM的主要過程: A 風(fēng) 險 過程 B 保 證 過程 C 工 程 過程 D 評 估 過程 答案： D 33. 目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，多頭管理現(xiàn)狀決定法出多門，計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定是由下列哪個部門所制定的規(guī)章制度？ A 公安部 B 國家保密局 C 信息產(chǎn)業(yè)部 D 國家密碼管理委員會辦公室 答案： Bo 35. 在選擇外部

11、供貨生產(chǎn)商時，評價標(biāo)準(zhǔn)按照重要性的排列順序是: 1. 供貨商與信息系統(tǒng)部門的接近程度 2. 供貨商雇員的態(tài)度 3. 供貨商的信譽、專業(yè)知識、技術(shù) 4. 供貨商的財政狀況和管理情況 A. 4， 3， 1， 2 B. 3， 4， 2， 1 C. 3， 2， 4， 1 D. 1， 2， 3， 4 答案：B 36. 機構(gòu)應(yīng)該把信息系統(tǒng)安全看作: A.業(yè)務(wù)中心 B.風(fēng)險中心 C.業(yè)務(wù)促進因素 D.業(yè)務(wù)抑制因素 答案：C。 37. 輸入控制的目的是確保: A 對數(shù)據(jù)文件訪問的授權(quán) B 對程序文件訪問的授權(quán) C 完全性、準(zhǔn)確性、以及更新的有效性 D 完全性、準(zhǔn)確性、以及輸入的有效性 答案： 選項D。 38.

12、 以下哪個針對訪問控制的安全措施是最容易使用和管理的? A 密碼 34. DNS的區(qū)域傳送(zonetransfer)，你應(yīng)該配置防火墻以阻止 1 UDP 2 TCP 3 53 4 52 A 1,3 B 2，3 C 1,4 D 2，4 答案： Bo 為了保護 B 加密標(biāo)志 C 硬件加密 D 加密數(shù)據(jù)文件 答案： Co 39. 下面哪種通信協(xié)議可以利用IPSEC的安全功能? I. TCP II. UDP I FTP A. 只有I B I和II C II和III D IIIIII 答案： Do 40. 以下哪一種模型用來對分級信息的保密性提供保護? A Biba模型和Bell-LaPadula模型

13、 B Bell-LaPadula模型和信息流模型 C Bell-LaPadula模型和Clark-Wilson模型 D. 答Clark-Wilson模型和信息流模型B。 41. 下列哪一項能夠提高網(wǎng)絡(luò)的可用性？ A. 數(shù)據(jù)冗余 B. 鏈路冗余 C. 軟件冗余 D. 電源冗余 答案：選項Bo 42. 為了阻止網(wǎng)絡(luò)假冒，最好的方法是通過使用以下哪一種技術(shù)? A. 回?fù)芗夹g(shù) B. 呼叫轉(zhuǎn)移技術(shù) C. 只采用文件加密 D. 回?fù)芗夹g(shù)加上數(shù)據(jù)加密 答案：D。 43. 一下那一項是基于一個大的整數(shù)很難分解成兩個素數(shù)因數(shù)？ A. ECC B. RSA C. DES D. Diffie-Hellman 答案：Bo 44. 下面哪一項是對IDS的正確描述？ A. 基于特征(Signature-based)的系統(tǒng)可以檢測新的攻擊類型 B. 基于特征(Signature-based)的系統(tǒng)比基于行為(behavior-based)的系統(tǒng)產(chǎn)生更多的誤報 C. 基于行為(behavior-based)的系統(tǒng)維護狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配 D. 基于行為(be