CISP模拟二

4、与PDR模型相比，P2DR模型多了哪一个环节？A．防护B．检测C．反应D．策略正确答案：D所在章：信息安全保障知识点：信息安全保障知识点24、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是：A．在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实B．在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足C．确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码D．在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行正确答案：D所在章：信息安全保障知识点：信息安全保障知识点25、关于我国加强信息安全保障工作的主要原则，以下说法错误的是：A．立足国情，以我为主，坚持技术与管理并重B．正确处理安全和发展的关系，以安全保发展，在发展中求安全C．统筹规划，突出重点，强化基础工作D．全面提高信息安全防护能力，保护公众利益，维护国家安全正确答案：D所在章：信息安全保障知识点：信息安全保障知识点26、下面关于信息系统安全保障的说法不正确的是：A．信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关B．信息系统安全保障要素包括信息的完整性.可用性和保密性C．信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障D．信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命正确答案：B所在章：信息安全保障知识点：信息安全保障知识点27、在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时，正确的理解是：A．测量单位是基本实施(BasePractices，BP)B．测量单位是通用实施(GenericPractices，GP)C．测量单位是过程区域(ProcessAreas，PA)D．测量单位是公共特征(CommonFeatures，CF)正确答案：D所在章：信息安全保障知识点：信息安全保障知识点28、下面关于信息系统安全保障模型的说法不正确的是：A．国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》(GB／T20274．1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心B．模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化C．信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全D．信息系统安全保障主要是确保信息系统的保密性.完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入正确答案：D所在章：信息安全保障知识点：信息安全保障知识点29、关于信息安全保障技术框架(IATF)，以下说法不正确的是：A．分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本B．IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施C．允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性D．IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制正确答案：D所在章：信息安全保障知识点：信息安全保障知识点30、关于信息安全保障的概念，下面说法错误的是：A．信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念B．信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段C．在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全D．信息安全保障把信息安全从技术扩展到管理，通过技术.管理和工程等措施的综合融合，形成对信息.信息系统及业务使命的保障正确答案：C所在章：信息安全保障知识点：信息安全保障知识点73、在数据库安全性控制中，授权的数据对象_______，授权子系统就越灵活？A．粒度越小B．约束越细致C．范围越大D．约束范围大正确答案：A所在章：信息安全技术知识点：信息安全技术知识点100、下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的：A．设置网络连接时限B．记录并分析系统错误日志C．记录并分析用户和管理员操作日志D．启用时钟同步正确答案：A所在章：信息安全技术知识点：信息安全技术知识点107、以下哪一项是数据完整性得到保护的例子?A．某网站在访问量突然增加时对用户连接数量进行了限制，保证己登录的用户可以完成操作B．在提款过程中ATM终端发生故障，银行业务系统及时对该用户的帐户余额进行了冲正操作C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看正确答案：B所在章：信息安全技术知识点：信息安全技术知识点112、在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层次提供保密性、身份鉴别、数据完整性服务？A．网络层B．表示层C．会话层D．物理层正确答案：B所在章：信息安全技术知识点：信息安全技术知识点120、为了保护系统日志可靠有效，以下哪一项不是日志必需具备的特征：A．统一而精确的时间B．全面覆盖系统资产C．包括访问源、访问日志和访问活动等重要信息D．可以让系统的所有用户方便的读取正确答案：D所在章：信息安全技术知识点：信息安全技术知识点137、在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?A．加密B．数字签名C．访问控制D．路由控制正确答案：B所在章：信息安全技术知识点：信息安全技术知识点321、以下哪一项不是工作在网络第二层的隧道协议？A．VTPB．L2FC．PPTPD．L2TP正确答案：A所在章：信息安全技术知识点：信息安全技术知识点324、下列对于网络认证协议（Kerberos）描述正确的是：A．该协议使用非对称密钥加密机制B．密钥分发中心由认证服务器.票据授权服务器和客户机三个部分组成C．该协议完成身份鉴别后将获取用户票据许可票据D．使用该协议不需要时钟基本同步的环境正确答案：C所在章：信息安全技术知识点：信息安全技术知识点330、下列哪一些对信息安全漏洞的描述是错误的？A．漏洞是存在于信息系统的某种缺陷B．漏洞存在于一定的环境中，寄生在一定的客体上（如TOE中、过程中等）C．具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失D．漏洞都是人为故意引入的一种信息系统的弱点正确答案：D所在章：信息安全技术知识点：信息安全技术知识点333、以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?A．ARP协议是一个无状态的协议B．为提高效率，ARP信息在系统中会缓存C．ARP缓存是动态的，可被改写D．ARP协议是用于寻址的一个重要协议正确答案：D所在章：信息安全技术知识点：信息安全技术知识点336、以下哪一项在防止数据介质被滥用时是不推荐使用的方法：A．禁用主机的CD驱动、USB接口等I/O设备B．对不再使用的硬盘进行严格的数据清除C．将不再使用的纸质文件用碎纸机粉碎D．用快速格式化删除存储介质中的保密文件正确答案：D所在章：信息安全技术知识点：信息安全技术知识点358、入侵防御系统（IPS）是继入侵检测系统（IDS）后发展期出来的一项新的安全技术，它与IDS有着许多不同点。请指出下列哪一项描述不符合IPS的特点？A．串接到网络线路中B．对异常的进出流量可以直接进行阻断C．有可能造成单点故障D．不会影响网络性能正确答案：D所在章：信息安全技术知识点：信息安全技术知识点361、关于Linux下的用户和组，以下描述不正确的是_________。A．在Linux中，每一个文件和程序都归属于一个特定的“用户”B．系统中的每一个用户都必须至少属于一个用户组C．用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组D．root是系统的超级用户，无论是否是文件和程序的所有者都具有访问权限正确答案：C所在章：信息安全技术知识点：信息安全技术知识点365、张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击？A．口令攻击B．暴力破解C．拒绝服务攻击D．社会工程学攻击正确答案：D所在章：信息安全技术知识点：信息安全技术知识点369、公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的：A．乙对信息安全不重视，低估了黑客能力，不舍得花钱B．甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费C．甲未充分考虑网游网站的业务与政府网站业务的区别D．乙要综合考虑业务.合规性和风险，与甲共同确定网站安全需求正确答案：A所在章：信息安全技术知识点：信息安全技术知识点370、进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史.国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：A．与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点B．美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担C．各国普遍重视信息安全事件的应急响应和处理D．在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系正确答案：B所在章：信息安全技术知识点：信息安全技术知识点371、以下关于项目的含义，理解错误的是：A．项目是为达到特定的目的，使用一定资源，在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。B．项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。C．项目资源指完成项目所需要的人、财、物等。D．项目目标要遵守SMART原则，即项目的目标要求具体(Specific)、可测量（Measurable)、需相关方的一致同意(Agreeto)、现实(Realistic)、有一定的时限(Time-oriented)。正确答案：B所在章：信息安全技术知识点：信息安全技术知识点372、2008年1月2日，美国发布第54号总统令，建立国家网络安全综合计划（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境，从以上内容，我们可以看出以下哪种分析是正确的：A．CNCI是以风险为核心，三道防线首要的任务是降低其网络所面临的风险B．从CNCI可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的C．CNCI的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补D．CNCI彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障正确答案：A所在章：信息安全技术知识点：信息安全技术知识点373、下列哪一种方法属于基于实体“所有”鉴别方法：A．用户通过自己设置的口令登录系统，完成身份鉴别B．用户使用个人指纹，通过指纹识别系统的身份鉴别C．用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别D．用户使用集成电路卡(如智能卡)完成身份鉴别正确答案：D所在章：信息安全技术知识点：信息安全技术知识点374、为