CISP整理試題及答案

1、1. 在橙皮書的概念中，信任是存在于以下哪一項(xiàng)中的? A. 操作系統(tǒng) B. 網(wǎng)絡(luò) C. 數(shù)據(jù)庫(kù) D. 應(yīng)用程序系統(tǒng) 答案：A 2. 下述攻擊手段中不屬于DOS擊的是：（） A Smurf攻擊 B Land攻擊 C Teardrop攻擊 D CGI溢出攻擊 答案： Do 3. “中華人民共和國(guó)保守國(guó)家秘密法”第二章規(guī)定了國(guó)家秘密的范圍和密級(jí)，國(guó)家秘密的密級(jí)分為：（ A. “普密”、 “商密” 兩個(gè)級(jí)別 B. “低級(jí)”和 “高級(jí)” 兩個(gè)級(jí)別 C. “絕密”、 “機(jī)密” 、“秘密”三個(gè)級(jí)別 D. “一密”、 “一密” 、“三密”、“四密”四個(gè)級(jí)別 答案：Co 4. 應(yīng)用軟件測(cè)試的正確順序是: A 集

2、 成 測(cè)試、 單元測(cè)試、 系統(tǒng)測(cè)試、 驗(yàn)收測(cè)試 B 單 元 測(cè)試、 系統(tǒng)測(cè)試、 集成測(cè)試、 驗(yàn)收測(cè)試 C 驗(yàn) 收 測(cè)試、 單元測(cè)試、 集成測(cè)試、 系統(tǒng)測(cè)試 D 單 元 測(cè)試、 集成測(cè)試、 系統(tǒng)測(cè)試、 驗(yàn)收測(cè)試 答案： 選項(xiàng)D。 5. 多層的樓房中，最適合做數(shù)據(jù)中心的位置是: A.一樓 B.地下室 C.頂樓 D.除以上外的任何樓層 答案：D。 6. 隨著全球信息化的發(fā)展，信息安全成了網(wǎng)絡(luò)時(shí)代的熱點(diǎn)，為了保證我國(guó)信息產(chǎn)業(yè)的發(fā)展與安全，必須加強(qiáng)對(duì)信息安全產(chǎn)品、系統(tǒng)、服務(wù)的測(cè)評(píng)認(rèn)證，中國(guó)信 息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心正是由國(guó)家授權(quán)從事測(cè)評(píng)認(rèn)證的國(guó)家級(jí)測(cè)評(píng)認(rèn)證實(shí)體機(jī)構(gòu)，以下對(duì)其測(cè)評(píng)認(rèn)證工作的錯(cuò)誤認(rèn)識(shí)是： A

3、. 測(cè)評(píng)與認(rèn)證是兩個(gè)不同概念，信息安全產(chǎn)品或系統(tǒng)認(rèn)證需經(jīng)過(guò)申請(qǐng)、測(cè)試、評(píng)估，認(rèn)證一系列環(huán)節(jié)。 B. 認(rèn)證公告將在一些媒體上定期發(fā)布，只有通過(guò)認(rèn)證的產(chǎn)品才會(huì)向公告、測(cè)試中或沒(méi)有通過(guò)測(cè)試的產(chǎn)品不再公告之列。 C. 對(duì)信息安全產(chǎn)品的測(cè)評(píng)認(rèn)證制度是我國(guó)按照WTO規(guī)則建立的技術(shù)壁壘的管理體制。 D. 通過(guò)測(cè)試認(rèn)證達(dá)到中心認(rèn)證標(biāo)準(zhǔn)的安全產(chǎn)品或系統(tǒng)完全消除了安全風(fēng)險(xiǎn)。 答案：D。 7. 計(jì)算機(jī)安全事故發(fā)生時(shí)，下列哪些人不被通知或者最后才被通知： A.系統(tǒng)管理員 8. 律師 9. 恢復(fù)協(xié)調(diào)員 10. 硬件和軟件廠商 答案：Bo 8. 下面的哪種組合都屬于多邊安全模型？ A TCSEC和Bell-LaPadul

4、a B ChineseWall和BMA C TCSEC和Clark-Wilson D ChineseWall和Biba 答案： Bo 9. 下面哪種方法可以替代電子銀行中的個(gè)人標(biāo)識(shí)號(hào)（PINs）的作用？ A 虹膜檢測(cè)技術(shù) B 語(yǔ)音標(biāo)識(shí)技術(shù) C 筆跡標(biāo)識(shí)技術(shù) D 指紋標(biāo)識(shí)技術(shù) 答案： Ao 10. 拒絕服務(wù)攻擊損害了信息系統(tǒng)的哪一項(xiàng)性能? 可用性 C.保密性 D.可靠性 答案：Bo 11. 下列哪一種模型運(yùn)用在JAVA安全模型中: A 白 盒 模型 B 黑 盒 模型 C 沙 箱 模型 D 灰 盒 模型 答案： Co 12. 以下哪一個(gè)協(xié)議是用于電子郵件系統(tǒng)的? B. A X.25 B X.75

5、C X.400 D X.500 答案： C。 13. “如果一條鏈路發(fā)生故障，那么只有和該鏈路相連的終端才會(huì)受到影響”，這一說(shuō)法是適合于以下哪一種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)的? A 星型 B 樹型 C 環(huán)型 D 復(fù) 合型 答案： Ao 14. 在一個(gè)局域網(wǎng)的環(huán)境中，其內(nèi)在的安全威脅包括主動(dòng)威脅和被動(dòng)威脅。以下哪一項(xiàng)屬于被動(dòng)威脅? A 報(bào)文服務(wù)拒絕 B 假冒 C 數(shù)據(jù)流分析 D 報(bào)文服務(wù)更改 答案： Co 15. ChineseWall模型的設(shè)計(jì)宗旨是： A. 用戶只能訪問(wèn)那些與已經(jīng)擁有的信息不沖突的信息 B. 用戶可以訪問(wèn)所有信息 C. 用戶可以訪問(wèn)所有已經(jīng)選擇的信息 D. 用戶不可以訪問(wèn)那些沒(méi)有選擇的信

6、息 答案：Ao 16. ITSEC中的F1-F5對(duì)應(yīng)TCSE3哪幾個(gè)級(jí)別？ A. D到B2 B. C2到B3 C. C1到B3 D. C2到A1 答案：C。 17. 下面哪一個(gè)是國(guó)家推薦性標(biāo)準(zhǔn)？ A.GB/T18020-1999應(yīng)用級(jí)防火墻安全技術(shù)要求 B. SJ/T30003-93電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收規(guī)范 C. GA243-2000計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則 D.ISO/IEC15408-1999信息技術(shù)安全性評(píng)估準(zhǔn)則 答案：Ao 18. 密碼處理依靠使用密鑰，密鑰是密碼系統(tǒng)里的最重要因素。以下哪一個(gè)密鑰算法在加密數(shù)據(jù)與解密時(shí)使用相同的密鑰? A. 對(duì)稱的公鑰算法 B. 非對(duì)稱私鑰算法

7、C. 對(duì)稱密鑰算法 D. 非對(duì)稱密鑰算法 答案：C。 19. 在執(zhí)行風(fēng)險(xiǎn)分析的時(shí)候，預(yù)期年度損失（ALE）的計(jì)算是： A. 全部損失乘以發(fā)生頻率 B. 全部損失費(fèi)用+實(shí)際替代費(fèi)用 C. 單次預(yù)期損失乘以發(fā)生頻率 D. 資產(chǎn)價(jià)值乘以發(fā)生頻率 答案：C。 20. 作為業(yè)務(wù)持續(xù)性計(jì)劃的一部分，在進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)的時(shí)候的步驟是: 1 考慮可能的威脅 2 建立恢復(fù)優(yōu)先級(jí) 3 評(píng)價(jià)潛在的影響 4 評(píng)價(jià)緊急性需求 A 1-3-4-2 B 1-3-2-4 C 1-2-3-4 D 1-4-3-2 答案： Ao 21. CC中安全功能/保證要求的三層結(jié)構(gòu)是（按照由大到小的順序） A.類、子類、組件 B.組件、子類、元

8、素 C.類、子類、元素 D.子類、組件、元素 答案：A 22. 有三種基本的鑒別的方式：你知道什么，你有什么, A.你需要什么 B.你看到什么 C.你是什么 D.你做什么 答案：C。 23. 為了有效的完成工作，信息系統(tǒng)安全部門員工最需要以下哪一項(xiàng)技能? A 人際關(guān)系技能 B 項(xiàng)目管理技能 以及: C 技術(shù)技能 D 溝通技能 答案： D。 24. 以下哪一種人給公司帶來(lái)了最大的安全風(fēng)險(xiǎn)? A 臨時(shí)工 B 咨詢?nèi)藛T C 以前的員工 D 當(dāng)前的員工 答案： Do 25. SSL提供哪些協(xié)議上的數(shù)據(jù)安全: A HTTP,FTP和TCP/IP B SKIP,SNMP和IP C UDP,VPN和SONE

9、T D PPTP,DMIRC4 答案： Ao 26. 在Windows2000中可以察看開放端口情況的是: A. nbtstat B. net C. netshow D. netstat 答案：D。 27. SMTP1接服務(wù)器使用端口 A 21 B 25 C 80 D 110 答案： B。 28. 在計(jì)算機(jī)中心，下列哪一項(xiàng)是磁介質(zhì)上信息擦除的最徹底形式 A.清除 B.凈化 C.刪除 D.破壞 答案：D。 29. 以下哪一種算法產(chǎn)生最長(zhǎng)的密鑰? A Diffe-Hellm B DES C IDEA D RSA 答案： Do 30. 下面哪一種風(fēng)險(xiǎn)對(duì)電子商務(wù)系統(tǒng)來(lái)說(shuō)是特殊的? A.服務(wù)中斷 B.應(yīng)

10、用程序系統(tǒng)欺騙 C.未授權(quán)的信息泄漏 D.確認(rèn)信息發(fā)送錯(cuò)誤 答案：D 31. 以下哪一項(xiàng)不屬于惡意代碼? A 病毒 B 蠕蟲 C 宏 D 特 洛 伊 木馬 答案： C。 32. 下列哪項(xiàng)不是信息系統(tǒng)安全工程能力成熟度模型(SSE-CMM的主要過(guò)程: A 風(fēng) 險(xiǎn) 過(guò)程 B 保 證 過(guò)程 C 工 程 過(guò)程 D 評(píng) 估 過(guò)程 答案： D 33. 目前，我國(guó)信息安全管理格局是一個(gè)多方“齊抓共管”的體制，多頭管理現(xiàn)狀決定法出多門，計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定是由下列哪個(gè)部門所制定的規(guī)章制度？ A 公安部 B 國(guó)家保密局 C 信息產(chǎn)業(yè)部 D 國(guó)家密碼管理委員會(huì)辦公室 答案： Bo 35. 在選擇外部

11、供貨生產(chǎn)商時(shí)，評(píng)價(jià)標(biāo)準(zhǔn)按照重要性的排列順序是: 1. 供貨商與信息系統(tǒng)部門的接近程度 2. 供貨商雇員的態(tài)度 3. 供貨商的信譽(yù)、專業(yè)知識(shí)、技術(shù) 4. 供貨商的財(cái)政狀況和管理情況 A. 4， 3， 1， 2 B. 3， 4， 2， 1 C. 3， 2， 4， 1 D. 1， 2， 3， 4 答案：B 36. 機(jī)構(gòu)應(yīng)該把信息系統(tǒng)安全看作: A.業(yè)務(wù)中心 B.風(fēng)險(xiǎn)中心 C.業(yè)務(wù)促進(jìn)因素 D.業(yè)務(wù)抑制因素 答案：C。 37. 輸入控制的目的是確保: A 對(duì)數(shù)據(jù)文件訪問(wèn)的授權(quán) B 對(duì)程序文件訪問(wèn)的授權(quán) C 完全性、準(zhǔn)確性、以及更新的有效性 D 完全性、準(zhǔn)確性、以及輸入的有效性 答案： 選項(xiàng)D。 38.

12、 以下哪個(gè)針對(duì)訪問(wèn)控制的安全措施是最容易使用和管理的? A 密碼 34. DNS的區(qū)域傳送(zonetransfer)，你應(yīng)該配置防火墻以阻止 1 UDP 2 TCP 3 53 4 52 A 1,3 B 2，3 C 1,4 D 2，4 答案： Bo 為了保護(hù) B 加密標(biāo)志 C 硬件加密 D 加密數(shù)據(jù)文件 答案： Co 39. 下面哪種通信協(xié)議可以利用IPSEC的安全功能? I. TCP II. UDP I FTP A. 只有I B I和II C II和III D IIIIII 答案： Do 40. 以下哪一種模型用來(lái)對(duì)分級(jí)信息的保密性提供保護(hù)? A Biba模型和Bell-LaPadula模型

13、 B Bell-LaPadula模型和信息流模型 C Bell-LaPadula模型和Clark-Wilson模型 D. 答Clark-Wilson模型和信息流模型B。 41. 下列哪一項(xiàng)能夠提高網(wǎng)絡(luò)的可用性？ A. 數(shù)據(jù)冗余 B. 鏈路冗余 C. 軟件冗余 D. 電源冗余 答案：選項(xiàng)Bo 42. 為了阻止網(wǎng)絡(luò)假冒，最好的方法是通過(guò)使用以下哪一種技術(shù)? A. 回?fù)芗夹g(shù) B. 呼叫轉(zhuǎn)移技術(shù) C. 只采用文件加密 D. 回?fù)芗夹g(shù)加上數(shù)據(jù)加密 答案：D。 43. 一下那一項(xiàng)是基于一個(gè)大的整數(shù)很難分解成兩個(gè)素?cái)?shù)因數(shù)？ A. ECC B. RSA C. DES D. Diffie-Hellman 答案：Bo 44. 下面哪一項(xiàng)是對(duì)IDS的正確描述？ A. 基于特征(Signature-based)的系統(tǒng)可以檢測(cè)新的攻擊類型 B. 基于特征(Signature-based)的系統(tǒng)比基于行為(behavior-based)的系統(tǒng)產(chǎn)生更多的誤報(bào) C. 基于行為(behavior-based)的系統(tǒng)維護(hù)狀態(tài)數(shù)據(jù)庫(kù)來(lái)與數(shù)據(jù)包和攻擊相匹配 D. 基于行為(be