1、注册信息安全专业人员资质认证模拟考试(CISP )页码:1模拟题 51. 在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统B. 网络C. 数据库D. 应用程序系统答案:A备注:标准和法规(TCSEC)2. 下述攻击手段中不属于 DOS 攻击的是: ( )A. Smurf 攻击B. Land 攻击C. Teardrop 攻击D. CGI 溢出攻击答案:D。3. “中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:( )A. “普密”、“商密” 两个级别B. “低级”和“高级”两个级别C. “绝密”、“机密”、“秘密” 三个级别D. “一密”、“二密”
2、、“三密”、“四密”四个级别答案:C。4. 应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试答案:选项 D。5. 多层的楼房中,最适合做数据中心的位置是:A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层答案:D。注册信息安全专业人员资质认证模拟考试(CISP )页码:26. 随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是
3、由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是: A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。C. 对信息安全产品的测评认证制度是我国按照 WTO 规则建立的技术壁垒的管理体制。D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。答案:D。7. 计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件厂商答案:B。8. 下面的哪
4、种组合都属于多边安全模型? A. TCSEC 和 Bell-LaPadulaB. Chinese Wall 和 BMAC. TCSEC 和 Clark-WilsonD. Chinese Wall 和 Biba答案:B。9. 下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?A. 虹膜检测技术B. 语音标识技术C. 笔迹标识技术D. 指纹标识技术答案:A。备注:安全技术 访问控制(标识和鉴别)10. 拒绝服务攻击损害了信息系统的哪一项性能?A. 完整性B. 可用性C. 保密性D. 可靠性答案:B。备注:安全技术 安全攻防实践注册信息安全专业人员资质认证模拟考试(CISP )页码:31
5、1. 下列哪一种模型运用在 JAVA 安全模型中:A. 白盒模型B. 黑盒模型C. 沙箱模型D. 灰盒模型答案:C。备注:信息安全架构和模型12. 以下哪一个协议是用于电子邮件系统的?A. X.25B. X.75C. X.400D. X.500答案:C。备注:安全技术ICT 信息和通信技术-应用安全(电子邮件)13. “如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响”,这一说法是适合于以下哪一种拓扑结构的网络的?A. 星型B. 树型C. 环型D. 复合型答案:A。备注:安全技术ICT 信息和通信技术14. 在一个局域网的环境中,其内在的安全威胁包括主动威胁和被动威胁。以下哪一项属
6、于被动威胁?A. 报文服务拒绝B. 假冒C. 数据流分析D. 报文服务更改答案:C。备注:安全技术 安全攻防实践15. Chinese Wall 模型的设计宗旨是:A. 用户只能访问那些与已经拥有的信息不冲突的信息B. 用户可以访问所有信息C. 用户可以访问所有已经选择的信息D. 用户不可以访问那些没有选择的信息答案:A。备注:(PT)信息安全架构和模型 -(BD)安全模型-(KA )强制访问控制(MAC)模型-(SA )Chinese Wall 模型,基本概念理解注册信息安全专业人员资质认证模拟考试(CISP )页码:416. ITSEC 中的 F1-F5 对应 TCSEC 中哪几个级别?A
7、. D 到 B2B. C2 到 B3C. C1 到 B3D. C2 到 A1答案:C。备注:(PT)信息安全标准和法律法规 -(BD)信息安全标准-(KA)信息安全技术测评标准,概念记忆。17. 下面哪一个是国家推荐性标准?A. GB/T 18020-1999 应用级防火墙安全技术要求B. SJ/T 30003-93 电子计算机机房施工及验收规范C. GA 243-2000 计算机病毒防治产品评级准则D. ISO/IEC 15408-1999 信息技术安全性评估准则答案:A。备注:(PT)信息安全标准和法律法规 -(BD)信息安全法律法规。18. 密码处理依靠使用密钥,密钥是密码系统里的最重要
8、因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥?A. 对称的公钥算法B. 非对称私钥算法C. 对称密钥算法D. 非对称密钥算法答案:C。备注:(PT)安全技术-(BD)信息安全机制-(KA )密码技术和应用,基本概念理解。19. 在执行风险分析的时候,预期年度损失(ALE)的计算是:A. 全部损失乘以发生频率B. 全部损失费用+实际替代费用C. 单次预期损失乘以发生频率D. 资产价值乘以发生频率答案:C。备注:(PT)安全管理-(BD)关键安全管理过程-(KA )风险评估,基本概念。20. 作为业务持续性计划的一部分,在进行风险评价的时候的步骤是:1. 考虑可能的威胁2. 建立恢复优
9、先级3. 评价潜在的影响4. 评价紧急性需求A. 1-3-4-2注册信息安全专业人员资质认证模拟考试(CISP )页码:5B. 1-3-2-4C. 1-2-3-4D. 1-4-3-2答案:A。备注:安全管理 业务持续性计划21. CC 中安全功能/保证要求的三层结构是(按照由大到小的顺序): A. 类、子类、组件B. 组件、子类、元素C. 类、子类、元素D. 子类、组件、元素答案:A。备注:(PT)信息安全标准和法律法规 -(BD)信息安全标准-(KA)信息安全技术测评标准-(SA )CC ,概念。22. 有三种基本的鉴别的方式: 你知道什么,你有什么, 以及:A. 你需要什么B. 你看到什么
10、C. 你是什么D. 你做什么答案:C。备注:(PT)安全技术-(BD)信息安全机制-(KA )访问控制系统23. 为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?A. 人际关系技能B. 项目管理技能C. 技术技能D. 沟通技能答案:D。备注:(PT)安全管理-(BD)组织机构和人员保障,概念。24. 以下哪一种人给公司带来了最大的安全风险?A. 临时工B. 咨询人员C. 以前的员工D. 当前的员工答案:D。备注:(PT)安全管理-(BD)组织机构和人员保障,概念。25. SSL 提供哪些协议上的数据安全:A. HTTP,FTP 和 TCP/IP注册信息安全专业人员资质认证模拟考试
11、(CISP )页码:6B. SKIP,SNMP 和 IPC. UDP,VPN 和 SONETD. PPTP,DMI 和 RC4答案:A。26. 在 Windows 2000 中可以察看开放端口情况的是:A. nbtstatB. netC. net showD. netstat答案:D。27. SMTP 连接服务器使用端口A. 21B. 25C. 80D. 110答案:选项 B。备注:PT- 安全技术 -BD-信息和通信技术(ICT)安全-KA-电信和网络安全 ,基本概念。28. 在计算机中心,下列哪一项是磁介质上信息擦除的最彻底形式?A. 清除B. 净化C. 删除D. 破坏答案:D。备注:(P
12、T)安全管理-(BD)生命周期安全管理-(KA )废弃管理29. 以下哪一种算法产生最长的密钥? A. Diffe-HellmanB. DESC. IDEA D. RSA答案:D。30. 下面哪一种风险对电子商务系统来说是特殊的?A. 服务中断B. 应用程序系统欺骗C. 未授权的信息泄漏D. 确认信息发送错误答案:D。注册信息安全专业人员资质认证模拟考试(CISP )页码:731. 以下哪一项不属于恶意代码? A. 病毒B. 蠕虫C. 宏D. 特洛伊木马答案:C。32. 下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:A. 风险过程B. 保证过程C. 工程过程D. 评估
13、过程答案:D33. 目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,计算机信息系统国际联网保密管理规定是由下列哪个部门所制定的规章制度? A. 公安部B. 国家保密局C. 信息产业部D. 国家密码管理委员会办公室答案:B。34. 为了保护 DNS 的区域传送(zone transfer),你应该配置防火墙以阻止1. UDP2. TCP3. 534. 52A. 1,3B. 2,3C. 1,4D. 2,4答案:B。备注:(PT)信息安全技术-(BD)安全实践,安全技术实践综合,网络安全和 DNS 应用安全。35. 在选择外部供货生产商时,评价标准按照重要性的排列顺
14、序是:1. 供货商与信息系统部门的接近程度2. 供货商雇员的态度3. 供货商的信誉、专业知识、技术4. 供货商的财政状况和管理情况A. 4,3,1 ,2B. 3,4,2 ,1C. 3,2,4 ,1注册信息安全专业人员资质认证模拟考试(CISP )页码:8D. 1,2,3 ,4答案:B。36. 机构应该把信息系统安全看作:A. 业务中心B. 风险中心C. 业务促进因素D. 业务抑制因素答案:C。37. 输入控制的目的是确保:A. 对数据文件访问的授权B. 对程序文件访问的授权C. 完全性、准确性、以及更新的有效性D. 完全性、准确性、以及输入的有效性答案:选项 D。38. 以下哪个针对访问控制的
15、安全措施是最容易使用和管理的?A. 密码B. 加密标志C. 硬件加密D. 加密数据文件答案:C。39. 下面哪种通信协议可以利用 IPSEC 的安全功能?I. TCPII. UDPIII. FTPA. 只有 IB. I 和 IIC. II 和 IIID. I II III答案:D。40. 以下哪一种模型用来对分级信息的保密性提供保护?A. Biba 模型和 Bell-LaPadula 模型B. Bell-LaPadula 模型和信息流模型C. Bell-LaPadula 模型和 Clark-Wilson 模型D. Clark-Wilson 模型和信息流模型答案:B。注册信息安全专业人员资质认证
16、模拟考试(CISP )页码:9备注:(PT)信息安全架构和模型 -(BD)安全模型-(KA )强制访问控制(MAC)模型,基本概念理解41. 下列哪一项能够提高网络的可用性?A. 数据冗余B. 链路冗余C. 软件冗余D. 电源冗余答案:选项 B。备注:(PT)安全技术-(BD)信息和通信技术(ICT)安全-(KA)电信和网络安全 ,基本概念。42. 为了阻止网络假冒,最好的方法是通过使用以下哪一种技术?A. 回拨技术B. 呼叫转移技术C. 只采用文件加密D. 回拨技术加上数据加密答案:D。43. 一下那一项是基于一个大的整数很难分解成两个素数因数? A. ECCB. RSAC. DESD. D
17、iffie-Hellman答案:B。44. 下面哪一项是对 IDS 的正确描述? A. 基于特征(Signature-based)的系统可以检测新的攻击类型B. 基于特征(Signature-based)的系统比基于行为(behavior-based)的系统产生更多的误报C. 基于行为(behavior-based )的系统维护状态数据库来与数据包和攻击相匹配D. 基于行为(behavior-based )的系统比基于特征(Signature-based)的系统有更高的误报答案:D。45. ISO 9000 标准系列着重于以下哪一个方面?A. 产品B. 加工处理过程C. 原材料D. 生产厂家答
18、案:B注册信息安全专业人员资质认证模拟考试(CISP )页码:1046. 下列哪项是私有 IP 地址? A. 10.5.42.5 B. 172.76.42.5 C. 172.90.42.5 D. 241.16.42.5 答案:A47. 以下哪一项是和电子邮件系统无关的?A. PEM(Privacy enhanced mail)B. PGP(Pretty good privacy)C. X.500D. X.400答案:C。48. 系统管理员属于A. 决策层B. 管理层C. 执行层D. 既可以划为管理层,又可以划为执行层答案:C。49. 为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时下
19、面哪一项是最好的方法? A. 进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码B. 进行离职谈话,禁止员工账号,更改密码C. 让员工签署跨边界协议D. 列出员工在解聘前需要注意的所有责任答案:A。50. 职责分离是信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背? A. 数据安全管理员B. 数据安全分析员C. 系统审核员D. 系统程序员答案:D。51. 下面哪一种攻击方式最常用于破解口令? A. 哄骗(spoofing )B. 字典攻击(dictionary attack)C. 拒绝服务(DoS)