CISP試題及答案-三套題

1、精選優(yōu)質(zhì)文檔-傾情為你奉上1.      人們對(duì)信息安全的認(rèn)識(shí)從信息技術(shù)安全發(fā)展到信息安全保障,主要是由于:A.為了更好地完成組織機(jī)構(gòu)的使命B.針對(duì)信息系統(tǒng)的攻擊方式發(fā)生重大變化C.風(fēng)險(xiǎn)控制技術(shù)得到革命性的發(fā)展D.除了保密性,信息的完整性和可用性也引起人們的關(guān)注2.      信息安全保障的最終目標(biāo)是:A.掌握系統(tǒng)的風(fēng)險(xiǎn),制定正確的策略B.確保系統(tǒng)的保密性、完整性和可用性C.使系統(tǒng)的技術(shù)、管理、工程過程和人員等安全保障要素達(dá)到要求D.保障信息系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命3.  &#

2、160;   關(guān)于信息保障技術(shù)框架（IATF），下列哪種說法是錯(cuò)誤的？AIATF強(qiáng)調(diào)深度防御（Defense-in-Depth）,關(guān)注本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施等多個(gè)領(lǐng)域的安全保障；B. IATF強(qiáng)調(diào)深度防御（Defense-in-Depth）,即對(duì)信息系統(tǒng)采用多層防護(hù)，實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作C. IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個(gè)角度來保障信息系統(tǒng)的安全；D. IATF強(qiáng)調(diào)的是以安全檢測(cè)、漏洞監(jiān)測(cè)和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全4.      依據(jù)國(guó)家標(biāo)準(zhǔn)GB/T20274信息系統(tǒng)安

3、全保障評(píng)估框架，信息系統(tǒng)安全目標(biāo)（ISST）是從信息系統(tǒng)安全保障_的角度來描述的信息系統(tǒng)安全保障方案。A.建設(shè)者B.所有者C.評(píng)估者D.制定者5.      以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說法錯(cuò)誤的是：A.通過在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施，向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心。B.信息系統(tǒng)安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理、安全工程和人員安全等，以全面保障信息系統(tǒng)安全C.是一種通過客觀證據(jù)向信息系統(tǒng)所有者提供主觀信心的活動(dòng)D.是主觀和客觀綜合評(píng)估的結(jié)果；6. 

4、;     信息系統(tǒng)保護(hù)輪廓（ISPP）定義了_.A.     某種類型信息系統(tǒng)的與實(shí)現(xiàn)無關(guān)的一組系統(tǒng)級(jí)安全保障要求B.     某種類型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障要求C.     某種類型信息系統(tǒng)的與實(shí)現(xiàn)無關(guān)的一組系統(tǒng)級(jí)安全保障目的D.     某種類型信息系統(tǒng)的與實(shí)現(xiàn)相關(guān)的一組系統(tǒng)級(jí)安全保障目的7.      以下對(duì)PPDR模型的

5、解釋錯(cuò)誤的是：A 該模型提出以安全策略為核心，防護(hù)、檢測(cè)和恢復(fù)組成一個(gè)完整的，B 該模型的一個(gè)重要貢獻(xiàn)是加進(jìn)了時(shí)間因素，而且對(duì)如何實(shí)現(xiàn)系統(tǒng)安全狀態(tài)給出了操作的描述C 該模型提出的公式1：Pt>Dt+Rt，代表防護(hù)時(shí)間大于檢測(cè)時(shí)間加響應(yīng)時(shí)間D 該模型提出的公式1：PtDt+Rt，代表防護(hù)時(shí)間為0時(shí)，系統(tǒng)檢測(cè)時(shí)間等于檢測(cè)時(shí)間加響應(yīng)時(shí)間8.      以下哪一項(xiàng)不是我國(guó)國(guó)務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng) 作內(nèi)容之一？A 提高信息技術(shù)產(chǎn)品的國(guó)產(chǎn)化率B 保證信息安全資金投入&C 加快信息安全人才培養(yǎng)D 重視信息安全應(yīng)急處理工

6、作9.      誰(shuí)首先提出了擴(kuò)散混淆的概念并應(yīng)用于密碼學(xué)領(lǐng)域？A.     香農(nóng)B.     ShamirC.     HellmanD.     圖靈10.   以下哪些問題、概念不是公鑰密碼體制中經(jīng)常使用到的困難問題？A 大整數(shù)分解B 離散對(duì)數(shù)問題C 背包問題D 偽隨機(jī)數(shù)發(fā)生器11.   下列關(guān)于kerckhofff準(zhǔn)則的合理性闡述中，哪一項(xiàng)

7、是正確的？A.     保持算法的秘密 比保持密鑰的秘密性要困難得多B.     密鑰一旦泄漏，也可以方便地更換C.     在一個(gè)密碼系統(tǒng)中，密碼算法是可以公開的，密鑰應(yīng)保證安全D.     公開的算法能夠經(jīng)過更嚴(yán)格的安全性分析12.   以下關(guān)于RSA算法的說法，正確的是：A.     RSA不能用于數(shù)據(jù)加密B.     RSA只能用

8、于數(shù)字簽名C.     RSA只能用于密鑰交換D.     RSA可用于加密，數(shù)字簽名和密鑰交換體制13.   Hash算法的碰撞是指：A.     兩個(gè)不同的消息，得到相同的消息摘要B.     兩個(gè)相同的消息，得到不同的消息摘要C.     消息摘要和消息的長(zhǎng)度相同D.     消息摘要比消息的長(zhǎng)度更長(zhǎng)14.  

9、下列哪種算法通常不被用于保證機(jī)密性？A.     AESB.     RC4C.     RSAD.     MD515.   數(shù)字證書的功能不包括：A.     加密 B.     數(shù)字簽名C.     身份認(rèn)證D.     消息摘要16. 

10、60; 下列哪一項(xiàng)是注冊(cè)機(jī)構(gòu)（RA）的職責(zé)？A 證書發(fā)放B 證書注銷C 提供目錄服務(wù)讓用戶查詢D 審核申請(qǐng)人信息17.   IPsec工作模式分別是：A.     一種工作模式：加密模式B.     三種工作模式：機(jī)密模式、傳輸模式、認(rèn)證模式C.     兩種工作模式：隧道模式、傳輸模式D.     兩種工作模式：隧道模式、加密模式18.   下列哪些描述同SSL相關(guān)？A.  

11、   公鑰使用戶可以交換會(huì)話密鑰，解密會(huì)話密鑰并驗(yàn)證數(shù)字簽名的真實(shí)性B.     公鑰使用戶可以交換會(huì)話密鑰，驗(yàn)證數(shù)字簽名的真實(shí)性以及加密數(shù)據(jù)C.     私鑰使用戶可以創(chuàng)建數(shù)字簽名，加密數(shù)據(jù)和解密會(huì)話密鑰。19.   下列關(guān)于IKE描述不正確的是：A IKE可以為IPsec協(xié)商關(guān)聯(lián)B IKE可以為RIPV2OSPPV2等要求保密的協(xié)議協(xié)商安全參數(shù)C IKE可以為L(zhǎng)2TP協(xié)商安全關(guān)聯(lián)D IKE可以為SNMPv3等要求保密的協(xié)議協(xié)調(diào)安全參數(shù)20.   下面哪

12、一項(xiàng)不是VPN協(xié)議標(biāo)準(zhǔn)？A.     L2TPB.     IPSecC.     TACACSD.     PPTP21.   自主訪問控制與強(qiáng)制訪問控制相比具有以下哪一個(gè)優(yōu)點(diǎn)？A 具有較高的安全性B 控制粒度較大C 配置效率不高D 具有較強(qiáng)的靈活性22.   以下關(guān)于Chinese Wall模型說法正確的是A.     Bob 可以讀銀行a的中的數(shù)據(jù)，則

13、他不能讀取銀行c中的數(shù)據(jù)B.     模型中的有害客體是指會(huì)產(chǎn)生利益沖突，不需要限制的數(shù)據(jù)C.     Bob 可以讀銀行a的中的數(shù)據(jù)，則他不能讀取石油公司u中的數(shù)據(jù)D.     Bob 可以讀銀行a的中的數(shù)據(jù)，Alice可以讀取銀行b中的數(shù)據(jù)，他們都能讀取在油公司u中的數(shù)據(jù)，由則Bob 可以往石油公司u中寫數(shù)據(jù)23.   以下關(guān)于BLP模型規(guī)則說法不正確的是：A BLP模型主要包括簡(jiǎn)單安全規(guī)則和*-規(guī)則B *-規(guī)則可以簡(jiǎn)單表述為下寫C 主體可以讀客體，當(dāng)

14、且僅當(dāng)主體的安全級(jí)可以支配客體的安全級(jí)，且主體對(duì)該客體具有自主型讀權(quán)限D(zhuǎn) 主體可以讀客體，當(dāng)且僅當(dāng)客體的安全級(jí)可以支配主體的安全級(jí)，且主體對(duì)該客體具有自主型讀權(quán)限24.   以下關(guān)于RBAC模型說法正確的是：A 該模型根據(jù)用戶所擔(dān)任的角色和安全級(jí)來決定用戶在系統(tǒng)中的訪問權(quán)限B 一個(gè)用戶必須扮演并激活某種角色，才能對(duì)一個(gè)象進(jìn)行訪問或執(zhí)行某種操作C 在該模型中，每個(gè)用戶只能有一個(gè)角色D 在該模型中，權(quán)限與用戶關(guān)聯(lián)，用戶與角色關(guān)聯(lián)25.   下列對(duì)常見強(qiáng)制訪問控制模型說法不正確的是：A BLP影響了許多其他訪問控制模型的發(fā)展B Clark-Wilson模型是一

15、種以事物處理為基本操作的完整性模型C Chinese Wall模型是一個(gè)只考慮完整性的安全策略模型D Biba模型是一種在數(shù)學(xué)上與BLP模型對(duì)偶的完整性保護(hù)模型26.   訪問控制的主要作用是：A.     防止對(duì)系統(tǒng)資源的非授權(quán)訪問B.     在安全事件后追查非法訪問活動(dòng)C.     防止用戶否認(rèn)在信息系統(tǒng)中的操作D.     以上都是27.   作為一名信息安全專業(yè)人員，你正在為某公司設(shè)計(jì)信

16、息資源的訪問控制策略。由于該公司的人員流動(dòng)較大，你準(zhǔn)備根據(jù)用戶所屬的組以及在公司中的職責(zé)來確定對(duì)信息資源的訪問權(quán)限，最應(yīng)該采用下列哪一種訪問控制模型？A 自主訪問控制（DAC）B 強(qiáng)制訪問控制(MAC)C 基于角色訪問控制(RBAC)D 最小特權(quán)(LEAST Privilege)28.   下列對(duì)kerberos協(xié)議特點(diǎn)描述不正確的是：A.     協(xié)議采用單點(diǎn)登錄技術(shù)，無法實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證B.     協(xié)議與授權(quán)機(jī)制相結(jié)合，支持雙向的身份認(rèn)證C.   &

17、#160; 只要用戶拿到了TGT并且TGT沒有過期，就可以使用該TGT通過TGS完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼D.     AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全29.   以下對(duì)單點(diǎn)登錄技術(shù)描述不正確的是：A 單點(diǎn)登錄技術(shù)實(shí)質(zhì)是安全憑證在多個(gè)用戶之間的傳遞或共享B 使用單點(diǎn)登錄技術(shù)用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以訪問多個(gè)應(yīng)用C 單點(diǎn)登錄不僅方便用戶使用，而且也便于管理D 使用單點(diǎn)登錄技術(shù)能簡(jiǎn)化應(yīng)用系統(tǒng)的開發(fā)30.   下列對(duì)標(biāo)識(shí)和鑒別的作用說法

18、不正確的是： A.     它們是數(shù)據(jù)源認(rèn)證的兩個(gè)因素B.     在審計(jì)追蹤記錄時(shí)，它們提供與某一活動(dòng)關(guān)聯(lián)的確知身份C.     標(biāo)識(shí)與鑒別無法數(shù)據(jù)完整性機(jī)制結(jié)合起來使用D.     作為一種必要支持，訪問控制的執(zhí)行依賴于標(biāo)識(shí)和鑒別確知的身份31.   下面哪一項(xiàng)不屬于集中訪問控制管理技術(shù)？A RADIUSB TEMPESTC TACACSD Diameter32.   安全審計(jì)是系統(tǒng)活動(dòng)和記錄

19、的獨(dú)立檢查和驗(yàn)證，以下哪一項(xiàng)不是審計(jì)系統(tǒng)的作用？A 輔助辨識(shí)和分析未經(jīng)授權(quán)的活動(dòng)或攻擊B 對(duì)與已建立的安全策略的一致性進(jìn)行核查C 及時(shí)阻斷違反安全策略的致性的訪問D 幫助發(fā)現(xiàn)需要改進(jìn)的安全控制措施33.   下列對(duì)蜜網(wǎng)關(guān)鍵技術(shù)描述不正確的是：A.     數(shù)據(jù)捕獲技術(shù)能夠檢測(cè)并審計(jì)黑客的所有行為數(shù)據(jù)B.     數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動(dòng)，使用工具及其意圖C.     通過數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)

20、的安全D.     通過數(shù)據(jù)控制、捕獲和分析，能對(duì)活動(dòng)進(jìn)行監(jiān)視、分析和阻止34.   以下哪種無線加密標(biāo)準(zhǔn)中哪一項(xiàng)的安全性最弱？A WepB wpaC wpa2D wapi35.   路由器的標(biāo)準(zhǔn)訪問控制列表以什么作為判別條件？A.     數(shù)據(jù)包的大小B.     數(shù)據(jù)包的源地址C.     數(shù)據(jù)包的端口號(hào)D.     數(shù)據(jù)包的目的地址36. &

21、#160; 通常在設(shè)計(jì)VLAN時(shí)，以下哪一項(xiàng)不是VIAN規(guī)劃方法？A 基于交換機(jī)端口B 基于網(wǎng)絡(luò)層協(xié)議C 基于MAC地址D 基于數(shù)字證書37.   防火墻中網(wǎng)絡(luò)地址轉(zhuǎn)換（MAT）的主要作用是：A 提供代理服務(wù)B 隱藏內(nèi)部網(wǎng)絡(luò)地址C 進(jìn)行入侵檢測(cè)D 防止病毒入侵38.   哪一類防火墻具有根據(jù)傳輸信息的內(nèi)容（如關(guān)鍵字、文件類型）來控制訪問連接的能力？A 包過濾防火墻B 狀態(tài)檢測(cè)防火墻C 應(yīng)用網(wǎng)關(guān)防火墻D 以上都不能39.   以下哪一項(xiàng)不屬于入侵檢測(cè)系統(tǒng)的功能？A 監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流B 捕捉可疑的網(wǎng)絡(luò)活動(dòng)C 提供安全審計(jì)報(bào)告D 過濾

22、非法的數(shù)據(jù)包40.下面哪一項(xiàng)不是通用IDS模型的組成部分:A.傳感器B.過濾器C.分析器D.管理器41.windows操作系統(tǒng)中,令人欲限制用戶無效登錄的次數(shù),應(yīng)當(dāng)怎么做?A.在”本地安全設(shè)置”中對(duì)”密碼策略”進(jìn)行設(shè)置B. 在”本地安全設(shè)置”中對(duì)”用戶鎖定策略”進(jìn)行設(shè)置C. 在”本地安全設(shè)置”中對(duì)”審核策略”進(jìn)行設(shè)置D. 在”本地安全設(shè)置”中對(duì)”用戶權(quán)利措施”進(jìn)行設(shè)置42.下列哪一項(xiàng)與數(shù)據(jù)庫(kù)的安全的直接關(guān)系？A.訪問控制的程度B數(shù)據(jù)庫(kù)的大小C關(guān)系表中屬性的數(shù)量D關(guān)系表中元組的數(shù)量43.Apache Web 服務(wù)器的配置文件一般位于/ /local/spache/conf 目錄.其中用來控制用戶

23、訪問Apache目錄的配置文件是:A.httqd.confB.srm.confC.access.confD.inetd.conf44.關(guān)于計(jì)算機(jī)病毒具有的感染能力不正確的是:A.能將自身代碼注入到引導(dǎo)區(qū)B. 能將自身代碼注入到限區(qū)中的文件鏡像C. 能將自身代碼注入文本文件中并執(zhí)行D. 能將自身代碼注入到文檔或模板的宏中代碼45.蠕蟲的特性不包括:A.文件寄生B.拒絕服務(wù)C.傳播快D.隱蔽性好46.關(guān)于網(wǎng)頁(yè)中的惡意代碼,下列說法錯(cuò)誤的是:A.網(wǎng)頁(yè)中的惡意代碼只能通過IE瀏覽器發(fā)揮作用B. 網(wǎng)頁(yè)中的惡意代碼可以修改系統(tǒng)注冊(cè)表C. 網(wǎng)頁(yè)中的惡意代碼可以修改系統(tǒng)文件D. 網(wǎng)頁(yè)中的惡意代碼可以竊取用戶的

24、機(jī)密文件47.當(dāng)用戶輸入的數(shù)據(jù)被一個(gè)解釋器當(dāng)作命令或查詢語(yǔ)句的一部分執(zhí)行時(shí),就會(huì)產(chǎn)生哪種類型的漏洞?A.緩沖區(qū)溢出B.設(shè)計(jì)錯(cuò)誤C.信息泄露D.代碼注入48.下列哪一項(xiàng)不是信息安全漏洞的載體?A.網(wǎng)絡(luò)協(xié)議B.操作系統(tǒng)C.應(yīng)用系統(tǒng)D.業(yè)務(wù)數(shù)據(jù)49.攻擊者使用偽造的SYN包,包的源地址和目標(biāo)地址都被設(shè)置成被攻擊方的地址,這樣被攻擊方會(huì)給自己發(fā)送SYN-ACK消息并發(fā)回ACK消息,創(chuàng)建一個(gè)連接,每一個(gè)這樣的連接都將保持到超時(shí)為止,這樣過多的空連接會(huì)耗盡被攻擊方的資源,導(dǎo)致拒絕服務(wù).這種攻擊稱為之為:A.Land攻擊B.Smurf攻擊C.Ping of Death攻擊D.ICMP Flood50. 以下

25、哪個(gè)攻擊步驟是IP欺騙(IP SPoof)系列攻擊中最關(guān)鍵和難度最高的?A.對(duì)被冒充的主機(jī)進(jìn)行拒絕服務(wù),使其無法對(duì)目標(biāo)主機(jī)進(jìn)行響應(yīng)B.與目標(biāo)主機(jī)進(jìn)行會(huì)話,猜測(cè)目標(biāo)主機(jī)的序號(hào)規(guī)則C.冒充受信主機(jī)想目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包,欺騙目標(biāo)主機(jī)D.向目標(biāo)主機(jī)發(fā)送指令,進(jìn)行會(huì)話操作51.以下針對(duì)Land攻擊的描述,哪個(gè)是正確的?A.Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式,通過IP欺騙的方式向目標(biāo)主機(jī)發(fā)送欺騙性數(shù)據(jù)報(bào)文,導(dǎo)致目標(biāo)主機(jī)無法訪問網(wǎng)絡(luò)B. Land是一種針對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的方式,通過向主機(jī)發(fā)送偽造的源地址為目標(biāo)主機(jī)自身的連接請(qǐng)求,導(dǎo)致目標(biāo)主機(jī)處理錯(cuò)誤形成拒絕服務(wù)C. Land攻擊是一種利用協(xié)議漏洞進(jìn)行攻擊的方

26、式,通過發(fā)送定制的錯(cuò)誤的數(shù)據(jù)包使主機(jī)系統(tǒng)處理錯(cuò)誤而崩潰D. Land是一種利用系統(tǒng)漏洞進(jìn)行攻擊的方式,通過利用系統(tǒng)漏洞發(fā)送數(shù)據(jù)包導(dǎo)致系統(tǒng)崩潰52.下列對(duì)垮站腳本攻擊(XSS)描述正確的是:A. XSS攻擊指的是惡意攻擊者往WEB頁(yè)面里插入惡意代碼,當(dāng)用戶瀏覽該頁(yè)之時(shí),嵌入其中WEB里面的代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的.B. XSS攻擊是DDOS攻擊的一種變種C .XSS.攻擊就是CC攻擊D. XSS攻擊就是利用被控制的機(jī)器不斷地向被網(wǎng)站發(fā)送訪問請(qǐng)求,迫使NS連接數(shù)超出限制,當(dāng)CPU資源或者帶寬資源耗盡,那么網(wǎng)站也就被攻擊垮了,從而達(dá)到攻擊目的 53.下列哪一項(xiàng)不屬于FUZZ測(cè)試的

27、特性?A.主要針對(duì)軟件漏洞或可靠性錯(cuò)誤進(jìn)行測(cè)試.B.采用大量測(cè)試用例進(jìn)行激勵(lì)響應(yīng)測(cè)試C.一種試探性測(cè)試方法,沒有任何依據(jù)&D.利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測(cè)試目標(biāo)產(chǎn)生異常54.對(duì)攻擊面(Attack surface)的正確定義是:A.一個(gè)軟件系統(tǒng)可被攻擊的漏洞的集合,軟件存在的攻擊面越多,軟件的安全性就越低B.對(duì)一個(gè)軟件系統(tǒng)可以采取的攻擊方法集合,一個(gè)軟件的攻擊面越大安全風(fēng)險(xiǎn)就越大C.一個(gè)軟件系統(tǒng)的功能模塊的集合,軟件的功能模塊越多,可被攻擊的點(diǎn)也越多,安全風(fēng)險(xiǎn)也越大D.一個(gè)軟件系統(tǒng)的用戶數(shù)量的集合,用戶的數(shù)量越多,受到攻擊的可能性就越大,安全風(fēng)險(xiǎn)也越大55.以下哪個(gè)不是軟件安全需求分

28、析階段的主要任務(wù)?A.確定團(tuán)隊(duì)負(fù)責(zé)人和安全顧問B.威脅建模C.定義安全和隱私需求(質(zhì)量標(biāo)準(zhǔn))D.設(shè)立最低安全標(biāo)準(zhǔn)/Bug欄56.風(fēng)險(xiǎn)評(píng)估方法的選定在PDCA循環(huán)中的那個(gè)階段完成？A.實(shí)施和運(yùn)行B.保持和改進(jìn)C.建立D.監(jiān)視和評(píng)審57.下面關(guān)于ISO27002的說法錯(cuò)誤的是:A.ISO27002的前身是ISO17799-1B.ISO27002給出了通常意義下的信息安全管理最佳實(shí)踐供組織機(jī)構(gòu)選用,但不是全部C.ISO27002對(duì)于每個(gè)措施的表述分”控制措施”、“實(shí)施指南”、和“其它信息”三個(gè)部分來進(jìn)行描述DISO27002提出了十一大類的安全管理措施，其中風(fēng)險(xiǎn)評(píng)估和處置是處于核心地位的一類安全措施

29、58.下述選項(xiàng)中對(duì)于“風(fēng)險(xiǎn)管理”的描述正確的是：A安全必須是完美無缺、面面俱到的。B最完備的信息安全策略就是最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策。C在解決、預(yù)防信息安全問題時(shí)，要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍D防范不足就會(huì)造成損失；防范過多就可以避免損失。59.風(fēng)險(xiǎn)評(píng)估主要包括風(fēng)險(xiǎn)分析準(zhǔn)備、風(fēng)險(xiǎn)素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定四個(gè)主要過程，關(guān)于這些過程，以下的說法哪一個(gè)是正確的?A.風(fēng)險(xiǎn)分析準(zhǔn)備的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性B風(fēng)險(xiǎn)要素識(shí)別的內(nèi)容是識(shí)別可能發(fā)生的安全事件對(duì)信息系統(tǒng)的影響程度C風(fēng)險(xiǎn)分析的內(nèi)容是識(shí)別風(fēng)險(xiǎn)的影響和可能性D風(fēng)險(xiǎn)結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱和控制措施60.你來到

30、服務(wù)器機(jī)房隔壁的一間辦公室，發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室，你要求在這辦公的員工請(qǐng)維修工來把窗戶修好。你離開后，沒有再過問這事。這件事的結(jié)果對(duì)與持定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會(huì)有什么影響？A如果窗戶被修好，威脅真正出現(xiàn)的可能性會(huì)增加B如果窗戶被修好，威脅真正出現(xiàn)的可能性會(huì)保持不變C如果窗戶沒被修好，威脅真正出現(xiàn)的可能性會(huì)下降D如果窗戶沒被修好，威脅真正出現(xiàn)的可能性會(huì)增加61.在對(duì)安全控制進(jìn)行分析時(shí)，下面哪個(gè)描述是錯(cuò)誤的？A對(duì)每一項(xiàng)安全控制都應(yīng)該進(jìn)行成本收益分析，以確定哪一項(xiàng)安全控制是必須的和有效的B應(yīng)選擇對(duì)業(yè)務(wù)效率影響最小的安全措施C選擇好實(shí)施安全控制的時(shí)機(jī)和位置，提高安全控制的有效

31、性D仔細(xì)評(píng)價(jià)引入的安全控制對(duì)正常業(yè)務(wù)帶來的影響，采取適當(dāng)措施，盡可能減少負(fù)面效應(yīng)62.以下哪一項(xiàng)不是信息安全管理工作必須遵循的原則？A風(fēng)險(xiǎn)管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個(gè)系統(tǒng)開發(fā)過程之中B風(fēng)險(xiǎn)管理活動(dòng)應(yīng)成為系統(tǒng)開發(fā)、運(yùn)行、維護(hù)、直至廢棄的整個(gè)生命周期內(nèi)的持續(xù)性工作C由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險(xiǎn)控制措施針對(duì)性會(huì)更強(qiáng)，實(shí)施成本會(huì)相對(duì)較低D在系統(tǒng)正式運(yùn)行后，應(yīng)注重殘余風(fēng)險(xiǎn)的管理，以提高快速反應(yīng)能力63.對(duì)于信息系統(tǒng)風(fēng)險(xiǎn)管理描述不正確的是：A.漏洞掃描是整個(gè)安全評(píng)估階段重要的數(shù)據(jù)來源而非全部B風(fēng)險(xiǎn)管理是動(dòng)態(tài)發(fā)展的，而非停滯、靜態(tài)的C風(fēng)險(xiǎn)評(píng)估的結(jié)果以及決策方案必須能夠相互比較才

32、可以具有較好的參考意義D風(fēng)險(xiǎn)評(píng)估最重要的因素是技術(shù)測(cè)試工具64.下列哪一項(xiàng)準(zhǔn)確地描述了脆弱性、威脅、暴露和風(fēng)險(xiǎn)之間的關(guān)系？A脆弱性增加了威脅，威脅利用了風(fēng)險(xiǎn)并導(dǎo)致了暴露B風(fēng)險(xiǎn)引起了脆弱性并導(dǎo)致了暴露，暴露又引起了威脅C風(fēng)險(xiǎn)允許威脅利用脆弱性，并導(dǎo)致了暴露D威脅利用脆弱性并產(chǎn)生影響的可能性稱為風(fēng)險(xiǎn)，暴露是威脅已造成損害的實(shí)例65.統(tǒng)計(jì)數(shù)據(jù)指出，對(duì)大多數(shù)計(jì)算機(jī)系統(tǒng)來說，最大的威脅是：A本單位的雇員B黑客和商業(yè)間諜C(jī)未受培訓(xùn)的系統(tǒng)用戶D技術(shù)產(chǎn)品和服務(wù)供應(yīng)商66風(fēng)險(xiǎn)評(píng)估按照評(píng)估者的不同可以分為自評(píng)和第三方評(píng)估。這兩種評(píng)估方式最本質(zhì)的差別是什么？A評(píng)估結(jié)果的客觀性B評(píng)估工具的專業(yè)程度C評(píng)估人員的技術(shù)能力

33、D評(píng)估報(bào)告的形式67.應(yīng)當(dāng)如何理解信息安全管理體系中的“信息安全策略”？A為了達(dá)到如何保護(hù)標(biāo)準(zhǔn)而提供的一系列建議B為了定義訪問控制需求面產(chǎn)生出來的一些通用性指引C組織高層對(duì)信息安全工作意圖的正式表達(dá)D一種分階段的安全處理結(jié)果68.以下哪一個(gè)是對(duì)人員安全管理中“授權(quán)蔓延”這概念的正確理解？A外來人員在進(jìn)行系統(tǒng)維護(hù)時(shí)沒有收到足夠的監(jiān)控B一個(gè)人擁有了不是其完成工作所必要的權(quán)限C敏感崗位和重要操作長(zhǎng)期有一個(gè)人獨(dú)自負(fù)責(zé)D員工由一個(gè)崗位變動(dòng)到另一人崗位，累積越來越多權(quán)限69.一個(gè)組織中的信息系統(tǒng)普通用戶，以下哪一項(xiàng)是不應(yīng)該了解的？A誰(shuí)負(fù)責(zé)信息安全管理制度的制定和發(fā)布B誰(shuí)負(fù)責(zé)都督信息安全制度的執(zhí)行C信息系統(tǒng)發(fā)生災(zāi)難后，進(jìn)行恢復(fù)工作的具體流程&D如果違反了制度可能受到的懲戒措施70.一上組織財(cái)務(wù)系統(tǒng)