CISP模擬題6及答案

CISP模擬題以下哪一項對安全風險的描述是準確的？CA、安全風險是指一種特定脆弱性利用一種或一組威脅造成組織的資產損失或損害的可能性。B、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失事實。C、安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性D、安全風險是指資產的脆弱性被威脅利用的情形。2、以下哪些不屬于脆弱性范疇？AA、黑客攻擊B、操作系統(tǒng)漏洞C、應用程序BUGD、人員的不良操作習慣3、依據信息系統(tǒng)安全保障模型，以下那個不是安全保證對象?AA、機密性B、管理C、過程D、人員4、系統(tǒng)審計日志不包括以下哪一項？DA、時間戳B、用戶標識C、對象標識D、處理結果5、TCP三次握手協(xié)議的第一步是發(fā)送一個：AA、SYN包B、SCK包C、UDP包D、NULL包6、以下指標可用來決定在應用系統(tǒng)中采取何種控制措施，除了BA、系統(tǒng)中數(shù)據的重要性B、采用網絡監(jiān)控軟件的可行性C、如果某具體行動或過程沒有被有效控制，由此產生的風險等級D、每個控制技術的效率，復雜性和花費8、用戶如果有熟練的技術技能且對程序有詳盡的了解，就能巧妙的避過安全性程序，對生產程序做出更改。為防止這種可能，要增強：BA、工作處理報告的復查B、生產程序于被單獨控制的副本之間的比較C、周期性測試數(shù)據的運行D、恰當?shù)呢熑畏指?、程序安全對應用安全有很大的影響，因此安全編程的一個重要環(huán)節(jié)。用軟件工程的方法編制程序是保證安全的根本。在程序設計階段，推薦使用的方法有：Aa建立完整的與安全相關的程序文件b嚴格控制程序庫c正確選用程序開發(fā)工具d制定適當?shù)某绦蛟L問控制10、ChineseWall模型的設計宗旨是：AA、用戶只能訪問那些與已經擁有的信息不沖突的信息B、用戶可以訪問所有的信息C、用戶可以訪問所有已經選擇的信息D、用戶不可以訪問那些沒有選擇的信息11、對不同的身份鑒別方法所提供的按防止重用攻擊從大到小：CA、僅用口令，口令及個人識別號（PIN），口令響應，一次性口令B、口令及個人識別號（PIN），口令響應，一次性口令，僅由口令C、口令響應，一次性口令，口令及個人識別號（PIN），僅有口令D、口令響應，口令及個人識別號（PIN），一次性口令，僅有口令12、下面那個協(xié)議在TCP/IP協(xié)議的低層起作用？BA、SSLB、SKIPC、S-HTTPD、S-PPC13、“保護輪廓”最早出現(xiàn)于哪一個標準？BA國際標準ISO/IEC15408；B美國FC標準；C可信計算機系統(tǒng)評估準則TCSEC；D信息技術安全性評估準則ITSECE通用評估準則CC2.014、UDP端口掃描的依據是：AA、根據掃描對放開房端口返回的信息判斷B、根據掃描對方關閉端口返回的信息判斷C、綜合考慮A和B的情況進行判斷D、既不根據A也不根據B15、企業(yè)內部互聯(lián)網可以建立在企業(yè)內部網絡上或是互聯(lián)網上。以下哪一項控制機制是最不合適于在互聯(lián)網上建立一個安全企業(yè)內部互聯(lián)網的？BA、用戶信道加密B、安裝加密的路由器C、安裝加密的防火墻D、在私有的網絡服務器上實現(xiàn)密碼控制機制16、以下的危險情況哪一個不適與數(shù)字簽名和隨機數(shù)字有關的？DA、偽裝B、重復攻擊C、密碼威脅D、拒絕服務17、安全標志和訪問控制策略是由下面哪一個訪問控制制度所支持的？DA、基于身份的制度B、基于身份認證的制度C、用戶指導制度D、強制訪問控制制度18、在OSI參考模型中有7個層次，提供了相應的安全服務來加強信息系統(tǒng)的安全性。以下那一層沒有提供機密性服務？DA、表示層B、傳輸層C、網絡層D、會話層19、下面有關IPSec的描述中錯誤的是？AIETF中的IPSEC標準夭折在用戶和設備之間建立一個加密通道VPN設備常常不能符合IPSEC標準IPSEC屬于網絡層AH用來認證21、“中華人民共和國保守國家秘密法”第二章規(guī)定了國家秘密的范圍和密級，國家秘密的密級分為：CA、普密、商密兩個級別B、低級和高級兩個級別C、絕密、機密、秘密三個級別D、一密、二密、三密、四密四個級別22、除了對訪問、處理、程序變更和其他功能進行控制外，為保障系統(tǒng)的安全需要仍需要建立信息審計追蹤。在一個用來記錄非法的系統(tǒng)訪問嘗試的審計追蹤日志中，一般不會包括下列哪項信息？DA、授權用戶列表B、事件或交易嘗試的類型C、進行嘗試的終端D、被獲取的數(shù)據23、幀中繼和X.25網絡是以下哪個選項的一部分？CA、電路交換服務B、單元交換服務C、分組交換服務D、專用數(shù)字服務24、在分布式開放系統(tǒng)的環(huán)境中，以下哪個選項的數(shù)據庫訪問服務提供允許或禁止訪問的能力？CA、對話管理服務B、事務管理服務C、資源管理服務D、控制管理服務25、為了阻止網絡假冒，最好的方法是：CA、回撥技術B、文件加密C、回撥技術加上數(shù)據加密D、撥號轉移技術26以下哪一項不能適應特洛伊木馬的攻擊？BA、強制訪問控制B、自主訪問控制C、邏輯訪問控制D、訪問控制表27、桔皮書主要強調了信息的哪個屬性？BA完整性B機密性C可用性D有效性28、以下哪一種人給公司帶來最大的安全風險？DA臨時工B咨詢人員C．以前員工D．當前員工29、一個公司經常修正其生產過程。從而造成對處理程序可能會伴隨一些改動。下列哪項功能可以確保這些改動的影響處理過程，保證它們對系統(tǒng)的影響風險最??？BA．安全管理B．變更控制C．問題追蹤D．問題升級程序30．應用軟件測試的正確順序是：DA、集成測試，單元測試，系統(tǒng)測試，交付測試B．單元測試，系統(tǒng)測試，集成測試，交付測試C．交付測試，單元測試，集成測試，系統(tǒng)測試D．單元測試，集成測試，系統(tǒng)測試，交付測試31、哪個TCP/IP指令會得出下面結果？AInternetAddressPhysicalAddressTypeAo-ee-oo-5b-oe-acdynamicARPNetstatTracertNbtstat32、哪個TCP/IP協(xié)議能夠表明域里哪臺是郵件服務器？DA、FTPB、nslookupC、tracertD、Telnet33、SMTPl連接服務器使用端口BA、21B、25C.23D.5334、數(shù)據庫管理系統(tǒng)DBMS主要由哪兩大部分組成？CA、文件管理器和查詢處理器B、事務處理器和存儲管理器C、存儲管理器和查詢處理器D、文件管理器和存儲管理器35．SQL語言可以在宿主語言中使用，也可以獨立地交互式使用。B寄宿嵌入混合并行36．下列為對稱加密算法的例子為ARijndaelRSADiffie-HellmanKnapsack37．下面哪種不是WINDOWS2000安裝后默認有的共享？DC＄Ipc＄Admin＄Systemroot＄38．在WINDOWS2000系統(tǒng)中，用什么命令或工具可以看到系統(tǒng)上開放的端口和進程的對應關系？CNETSTATNETUSEFPORTURLSCAN39．為盡量防止通過瀏覽網頁感染惡意代碼，下列做法中錯誤的是：D不使用IE瀏覽器，而使用Opera之類的第三方瀏覽器。關閉IE瀏覽器的自動下載功能。禁用IE瀏覽器的活動腳本功能。先把網頁保存到本地再瀏覽。40．下列關于病毒和蠕蟲的說法正確的是：B紅色代碼（CodeRed）是病毒。Nimda是蠕蟲。CIH病毒可以感染WINDOWS98也可以感染WINDOWS2000.世界上最早的病毒是小球病毒。41、下面哪一個不屬于基于OSI七層協(xié)議的安全體系結構的5種服務之一？CA.數(shù)據完整性B.數(shù)據機密性C.公證D.抗抵賴42、下列為非對稱加密算法的例子為DIDEADES3DESELLIPTOCCURVE43．為了有效的完成工作，信息系統(tǒng)安全部門員工最需要以下哪一項技能？D人際關系技能項目管理技能技術技能溝通技能44．保護輪廓（PP）是下面哪一方提出的安全要求？C評估方開發(fā)方用戶方制定標準方45．在執(zhí)行風險分析的時候，預期年度損失（ALE）的計算是：C全部損失乘以發(fā)生頻率全部損失費用＝實際替代費用單次預期損失乘以發(fā)生頻率資產價值乘以發(fā)生頻率46．有三種基本的鑒別的方式：你知道什么，你有什么，以及：C你需要什么你看到什么你是什么你做什么47．以下哪個選項不是信息中心（IC）工作職能的一部分？A準備最終用戶的預算選擇PC的硬件和軟件保持所有PC的硬件和軟件的清單提供被認可的硬件和軟件的技術支持48．CC中的評估保證級4級（EAL4）對應TCSEC和ITSEC的哪個級別？CA.對應TCSECB1級，對應ITSECE4級B.對應TCSECC2級，對應ITSECE4級C.對應TCSECB1級，對應ITSECE3級D.對應TCSECC2級，對應ITSECE3級49．在最近一次工資數(shù)據更新之后，一個未經授權的員工從公司的計算機中心得到了打印的公司數(shù)據表，為保證只有經授權的員工才能得到敏感的打印數(shù)據，控制手段包括日志和：A有控制地銷毀作廢的打印數(shù)據接收人的簽名確認對磁盤上的打印輸出文件進行訪問控制敏感打印數(shù)據的強制過期日期50．下面哪一個是國家推薦性標準？AGB/T18020-1999應用級防火墻安全技術要求SJ/T30003-93電子計算機機房施工及驗收規(guī)范GA243-2000計算機病毒防治產品評級準則ISO/IEC15408-1999信息技術安全性評估準則51．為了確定自從上次合法的程序更新后程序是否被非法改變過，信息系統(tǒng)安全審核員可以采用的審計技術是：A代碼比照代碼檢查測試運行日期分析檢查52．在WINDOWS2000系統(tǒng)中，哪個進程是IIS服務的進程？AInetinfo.exeLsass.exeMstask.exeInternat.exe53.下面哪一個用于電子郵件的鑒別和機密性?C數(shù)字簽名IPSECAHPGPMD454．在某個攻擊中，入侵者通過由系統(tǒng)用戶或系統(tǒng)管理員主動泄漏的可以訪問系統(tǒng)資源的信息，獲得系統(tǒng)訪問權限的行為被稱作：A社會工程非法竊取電子欺騙電子竊聽55．測試數(shù)據庫應用程序主要應對的風險是DA非授權用戶執(zhí)行“ROLLBACK”命令；B非授權用戶執(zhí)行“COMMIT”命令；C非授權用戶執(zhí)行“ROLLFORWARD”命令；D非授權用戶修改數(shù)據庫中的行56．CC的一般模型基于：A風險管理模型Belllapadula模型PDCA模型PDR模型57．ITSEC中的E1-E5對應TCSEC中哪幾個級別？ACD到B2C2到B3C1到B3C2到A158．事件響應方法學定義了安全事件處理的流程，這個流程的順序是：C準備－抑制－檢測－根除－恢復－跟進準備－檢測－抑制－恢復－根除－跟進準備－檢測－抑制－根除－恢復－跟進準備－抑制－根除－檢測－恢復－跟進59．PDR模型中，下面哪個措施不屬于防護(P)措施：C物理門禁防火墻入侵檢測加密60．CC中的評估保證級（EAL）4級涵義是：C結構測試級方法測試和校驗級系統(tǒng)的設計、測試和評審級半形式化設計和測試級61．以下哪一項是已經被確認了的具有一定合理性的風險？C總風險最小化風險可接受風險殘余風險62．從風險的觀點來看，一個具有任務緊急性，核心功能的計算機應用程序系統(tǒng)的開發(fā)和維護項目應該：63．隨著全球信息化的發(fā)展，信息安全成了網絡時代的熱點，為了保證我國信息產業(yè)的發(fā)展與安全，必須加強對信息安全產品、系統(tǒng)、服務的測評認證，中國信息安全產品測評認證中心正是由國家授權從事測評認證的國家級測評認證實體機構，以下對其測評認證工作的錯誤認識是：DA測評與認證是兩個不同概念，信息安全產品或系統(tǒng)認證需經過申請、測試、評估、認證一系列環(huán)節(jié)。B認證公告將在一些媒體上定期發(fā)布，只有通過認證的產品才會向公告、測試中或沒有通過測試的產品不再公告之列。C對信息安全產品的測評認證制度是我國按照WTO規(guī)則建立的技術壁壘的管理體制。D通過測試認證達到中心認證標準的安全產品或系統(tǒng)完全消除了安全風險。64．下列哪一項是磁介質上信息擦除的最徹底形式？DA格式化B消磁C刪除D破壞65．如果你剛收到一封你同事轉發(fā)過來的電子郵件，警告你出現(xiàn)了一個可怕的新病毒，你會先做下面哪件事情？DA將這個消息傳給你認識的每個人。B用一個可信賴的信息源驗證這個消息。C將你的計算機從網絡上連接D升級你的病毒庫66．當備份一個應用程序系統(tǒng)的數(shù)據時，以下哪一項是應該首先考慮的關鍵性問題？DA什么時候進行備份？B在哪里進行備份。C怎樣存儲備份？D需要備份哪些數(shù)據？67．職責分離是信息安全管理的一個基本概念。其關鍵是權力不能過分集中在某一個人手中。職責分離的目的是確保沒有單獨的人員（單獨進行操作）可以對應用程序系統(tǒng)特征或控制功能進行破壞。當以下哪一類人員訪問安全系統(tǒng)軟件的時候，會造成對“職責分離”原則的違背？DA數(shù)據安全管理員B數(shù)據安全分析員C系統(tǒng)審核員D系統(tǒng)程序員68．關系型數(shù)據庫技術的特征由以下哪些元素確定的？AA行和列B節(jié)點和分支CBlocks和Arrows；D父類和子類69．與RSA（Rivest,Shamir,Adleman）算法相比，DSS（DigitalSignatureStandard）不包括：CA數(shù)字簽名B鑒別機制C加密機制D數(shù)據完整性70．以下哪一種模型用來對分級信息的保密性提供保護？BABiba模型和Bell-LaPadula模型BBell-LaPadula模型和信息流模型CBell-LaPadula模型和Clark-wilson模型DClark-wilson模型和信息流模型71.責任機制對于實現(xiàn)安全性策略是很重要的，從系統(tǒng)用戶來說，下列哪一個在嚴格的責任機制中的作用最小？BA審計要求B密碼C身份簽別控制D授權控制72．下面哪一項不是一個公開密鑰基礎設施（PKI）的正常的部件？BA數(shù)字簽名B對稱加密密鑰CCA中心D密鑰管理協(xié)議73．以下有關單方向HASH函數(shù)和加密算法的敘述中，正確的是：AA它們都將一個明文轉化為非智能的密文B它們都是可逆的C它們都不會破壞信息D它們都使用密鑰74．下述攻擊手段中不屬于DOS攻擊的是：DASmurf攻擊BLand攻擊CSynfloodDSniffer76．一般由系統(tǒng)所有者上級單位或主管信息安全的機構授權信息系統(tǒng)投入運行的最后一步叫做:D正式發(fā)布認證驗證認可77．依據信息系統(tǒng)安全保障模型，劃分安全保障等級要考慮的因素不包括下面哪一方面：D系統(tǒng)信息的密級系統(tǒng)的價值系統(tǒng)要對抗的威脅系統(tǒng)的技術構成78．在Biba模型中，完整性威脅來源于子系統(tǒng)的：B內部外部內部或外部既非內部也非外部79．通常使用——來實現(xiàn)抗抵賴C加密時間戳簽名數(shù)字指紋80．關于RA的功能下列說法正確的是——B驗證申請者的身份提供目錄服務，可以查尋用戶證書的相關信息證書更新證書發(fā)放81．從分析方法上入侵檢測分為哪兩種類型B異常檢測、網絡檢測誤用檢測、異常檢測主機檢測、網絡檢測網絡檢測、誤用檢測82．在數(shù)據庫向因特網開放前，哪個步驟是可以忽略的？BA安全安裝和配置操作系統(tǒng)和數(shù)據庫系統(tǒng)；B應用系統(tǒng)已經在內網試運行3個月；C對應用軟件，如WEB頁面、ASP腳本等進行安全性檢查；D網絡安全策略已經生效83．一個可以對任意長度的報文進行加密和解密的加密算法稱為：D鏈路加密批量加密端對端加密流加密84．你所屬的機構為了保護一些重要的信息需要一個系統(tǒng)范圍內的訪問控制軟件，在對這類軟件產品的評價過程中，哪一條是最重要的原則？D需要保護什么樣的信息信息是如何被保護的為保護信息預計投入多少如果信息不能被保護將造成的損失85．下列選項中的哪一個可以用來減少一個虛擬專用網（VPN）由于使用加密而導致的系統(tǒng)性能的降低？B數(shù)字證書隧道化遠程訪問軟件數(shù)字簽名86．系統(tǒng)的安全策略和審查記錄使得機構管理者能夠確保用戶對其自身的行為負責。為了使用系統(tǒng)記錄，是安全策略發(fā)揮作用，下面哪一項是首要必需的？C物理訪問控制環(huán)境控制管理控制邏輯訪問控制87．下面哪一個短語能用來描述包含在一個應用程序中一系列指令中的惡意代碼，例如一個字處理程序或表格制作軟件？B主引導區(qū)病毒宏病毒木馬腳本病毒88．在實際應用中，下面哪種加密形式既安全又方便？BA 選擇性記錄加密；B 選擇性字段加密