对于在备考CISP认证考试的考生而言,多做试题会很有帮助,很多知识点都会从习题中总结出来,所以考生的试题训练量需要很多。CISP考试内容是100个单项选择题,70分及以上算通过。下面是有关CISP认证考试试题内容,希望可以帮到各位。
31. 关于linux下的用户和组,以下描述不正确的是 。
A.在 linux 中,每一个文件和程序都归属于一个特定的“用户”
B.系统中的每一个用户都必须至少属于一个用户组
C. 用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于多个组
D.root是系统的超级用户,无论是否文件和程序的所有者都具有访问权限
32. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
A.操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
B.为了方便进行数据备份,安装 Windows 操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘
C.操作系统上部署防病毒软件,以对抗病毒的威胁
D.将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能
33. 在数据库安全性控制中,授权的数据对象,授权子系统就越灵活?
A.粒度越小B.约束越细致C.范围越大D.约束范围大
34. 下列哪一些对信息安全漏洞的描述是错误的?
A.漏洞是存在于信息系统的某种缺陷。
B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)。
C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来 威胁和损失。
D.漏洞都是人为故意引入的一种信息系统的弱点
35. 账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?
A.分布式拒绝服务攻击(DDoS)
B.病毒传染
C. 口令暴力破解
D.缓冲区溢出攻击
36. 以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?
A.ARP协议是一个无状态的协议
B.为提高效率,ARP信息在系统中会缓存
C.ARP缓存是动态的,可被改写
D.ARP协议是用于寻址的一个重要协议
37. 张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些 欺骗消息。该攻击行为属于以下哪类攻击?
A.口令攻击
B.暴力破解
C.拒绝服务攻击
D.社会工程学攻击
38. 关于软件安全开发生命周期(SDL),下面说法错误的是:
A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术、管理和工程等手段
C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
39. 在软件保障成熟度模型(Software Assurance Maturity Mode,SAMM)中,规定了软件开发过程中的核心业务功能, 下列哪个选项不属于核心业务功能:
A.治理,主要是管理软件开发的过程和活动
B. 构造,主要是在开发项目中确定目标并开发软件的过程与活动
C.验证,主要是测试和验证软件的过程与活动
D. 购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
40. 从系统工程的角度来处理信息安全问题,以下说法错误的是:
A.系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全 需求转换为贯穿系统整个生存期的工程实施指南。
B.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系 统遗留的安全薄弱性在可容许范围之内。
C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行 管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。
41. 有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是:
A.BP 是基于最新技术而制定的安全参数基本配置
B.大部分 BP 是没有经过测试的
C. 一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
D.一项 BP 可以和其他 BP 有重叠
42. 以下哪一种判断信息系统是否安全的方式是最合理的?
A.是否己经通过部署安全控制措施消灭了风险
B.是否可以抵抗大部分风险
C.是否建立了具有自适应能力的信息安全模型
D. 是否已经将风险控制在可接受的范围内
43. 以下关于信息安全法治建设的意义,说法错误的是:
A.信息安全法律环境是信息安全保障体系中的必要环节
B.明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动
C.信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D.信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
44. 小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预期损失为多少:
A.24万
B.0.09万
C.37.5万
D.9万
45. 2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传 统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是:
A.电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据
B.电子签名适用于民事活动中的合同或者其他文件、单证等文书
C.电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务
D.电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供者共有
注:以上内容来源于网络,如有侵权请联系客服删除!
