CISP模拟考试100题及答案(最新整理)

CISP模拟考试100题及答案（最新整理）1、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？BA必须是TAMPERPROOFB必须足够大C必须足够小D必须总在其中2、CTCPEC标准中，安全功能要求包括以下哪方面内容？ABDEA机密性要求B完整性要求；C保证要求；D可用性要求；E可控性要求3、TCP/IP协议的4层概念模型是？AA.应用层、传输层、网络层和网络接口层B.应用层、传输层、网络层和物理层C.应用层、数据链路层、网络层和网络接口层D.会话层、数据链路层、网络层和网络接口层4、中国信息安全产品测评认证中心的四项业务是什么？ABCDA.产品测评认证；B.信息系统安全测评认证；C.信息系统安全服务资质认证；D.注册信息安全专业人员资质认证5、以下哪一项对安全风险的描述是准确的？CA、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性D、安全风险是指资产的脆弱性被威胁利用的情形。6、以下哪些不属于脆弱性范畴？AA、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯7、依据信息系统安全保障模型，以下那个不是安全保证对象AA、机密性B、管理C、过程D、人员8、系统审计日志不包括以下哪一项？DA、时间戳B、用户标识C、对象标识D、处理结果9、TCP三次握手协议的第一步是发送一个：AA、SYN包B、SCK包C、UDP包D、NULL包10、以下指标可用来决定在应用系统中采取何种控制措施，除了（）BA、系统中数据的重要性B、采用网络监控软件的可行性C、如果某具体行动或过程没有被有效控制，由此产生的风险等级D、每个控制技术的效率，复杂性和花费11、用户如果有熟练的技术技能且对程序有详尽的了解，就能巧妙的避过安全性程序，对生产程序做出更改。为防止这种可能，要增强：BA、工作处理报告的复查B、生产程序于被单独控制的副本之间的比较C、周期性测试数据的运行D、恰当的责任分割12、我国的强制性国家标准的写法？AA、GB13、OSI中哪一层不提供机密性服务？DA、表示层B、传输层C、网络层D、会话层14、程序安全对应用安全有很大的影响，因此安全编程的一个重要环节。用软件工程的方法编制程序是保证安全的根本。在程序设计阶段，推荐使用的方法有：Aa建立完整的与安全相关的程序文件b严格控制程序库c正确选用程序开发工具d制定适当的程序访问控制A.a、b、c、dB.a、b、cC.b、c、dD.b、c15、ChineseWall模型的设计宗旨是：AA、用户只能访问那些与已经拥有的信息不冲突的信息B、用户可以访问所有的信息C、用户可以访问所有已经选择的信息D、用户不可以访问那些没有选择的信息16、对不同的身份鉴别方法所提供的按防止重用攻击从大到小：CA、仅用口令，口令及个人识别号（PIN），口令响应，一次性口令B、口令及个人识别号（PIN），口令响应，一次性口令，仅由口令C、口令响应，一次性口令，口令及个人识别号（PIN），仅有口令D、口令响应，口令及个人识别号（PIN），一次性口令，仅有口令17、下面那个协议在TCP/IP协议的低层起作用？BA、SSLB、SKIPC、S-HTTPD、S-PPC18、UDP端口扫描的依据是：AA、根据扫描对放开房端口返回的信息判断B、根据扫描对方关闭端口返回的信息判断C、综合考虑A和B的情况进行判断D、既不根据A也不根据B19、企业内部互联网可以建立在企业内部网络上或是互联网上。以下哪一项控制机制是最不合适于在互联网上建立一个安全企业内部互联网的？BA、用户信道加密B、安装加密的路由器C、安装加密的防火墙D、在私有的网络服务器上实现密码控制机制20、以下的危险情况哪一个不适与数字签名和随机数字有关的？DA、伪装B、重复攻击C、密码威胁D、拒绝服务21、安全标志和访问控制策略是由下面哪一个访问控制制度所支持的？DA、基于身份的制度B、基于身份认证的制度C、用户指导制度D、强制访问控制制度22、以下哪个安全特征和机制是SQL数据库所特有的？BA、标识和鉴别B、交易管理C、审计D、故障承受机制23、下面有关IPSec的描述中错误的是？AA、IETF中的IPSEC标准夭折在用户和设备之间建立一个加密通道B、VPN设备常常不能符合IPSEC标准24、“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为：CA、普密、商密两个级别B、低级和高级两个级别C、绝密、机密、秘密三个级别D、一密、二密、三密、四密四个级别25、除了对访问、处理、程序变更和其他功能进行控制外，为保障系统的安全需要仍需要建立信息审计追踪。在一个用来记录非法的系统访问尝试的审计追踪日志中，一般不会包括下列哪项信息？DA、授权用户列表B、事件或交易尝试的类型C、进行尝试的终端D、被获取的数据26、帧中继和X.25网络是以下哪个选项的一部分？CA、电路交换服务B、单元交换服务C、分组交换服务D、专用数字服务27、在分布式开放系统的环境中，以下哪个选项的数据库访问服务提供允许或禁止访问的能力？CA、对话管理服务B、事务管理服务C、资源管理服务D、控制管理服务28、为了阻止网络假冒，最好的方法是：CA、回拨技术B、文件加密C、回拨技术加上数据加密D、拨号转移技术29、以下哪一项不能适应特洛伊木马的攻击？BA、强制访问控制B、自主访问控制C、逻辑访问控制D、访问控制表30、以下哪一种人给公司带来最大的安全风险？DA、临时工B、咨询人员C、以前员工D、当前员工31、一个公司经常修正其生产过程。从而造成对处理程序可能会伴随一些改动。下列哪项功能可以确保这些改动的影响处理过程，保证它们对系统的影响风险最小？BA、安全管理B、变更控制C、问题追踪D、问题升级程序32、应用软件测试的正确顺序是：DA、集成测试，单元测试，系统测试，交付测试B、单元测试，系统测试，集成测试，交付测试C、交付测试，单元测试，集成测试，系统测试D、单元测试，集成测试，系统测试，交付测试33、哪个TCP/IP指令会得出下面结果？AInterface:199.102.30.152InternetAddressPhysicalAddressType199.102.30.152Ao-ee-oo-5b-oe-acdynamicA、ARPB、NetstatC、TracertD、Nbtstat34、哪个TCP/IP协议能够表明域里哪台是邮件服务器？DA、FTPB、nslookupC、tracertD、Telnet35、SMTPl连接服务器使用端口BA、21B、2536、数据库管理系统DBMS主要由哪两大部分组成？CA、文件管理器和查询处理器B、事务处理器和存储管理器C、存储管理器和查询处理器D、文件管理器和存储管理器37、SQL语言可以在宿主语言中使用，也可以独立地交互式使用。BA、寄宿B、嵌入C、混合D、并行38、下列为对称加密算法的例子为AA、RijndaelB、RSAC、Diffie-HellmanD、Knapsack39、下面哪种不是WINDOWS2000安装后默认有的共享？DA、C＄B、Ipc＄C、Admin＄D、Systemroot＄40、在WINDOWS2000系统中，用什么命令或工具可以看到系统上开放的端口和进程的对应关系？CA、NETSTATB、NETUSEC、FPORTD、URLSCAN41、为尽量防止通过浏览网页感染恶意代码，下列做法中错误的是：DA、不使用IE浏览器，而使用Opera之类的第三方浏览器。B、关闭IE浏览器的自动下载功能。C、禁用IE浏览器的活动脚本功能。D、先把网页保存到本地再浏览。42、下列关于病毒和蠕虫的说法正确的是：BA、红色代码（CodeRed）是病毒。B、Nimda是蠕虫。C、CIH病毒可以感染WINDOWS98也可以感染WINDOWS2000.D、世界上最早的病毒是小球病毒。43、下列为非对称加密算法的例子为DA、IDEAB、DESC、3DESD、ELLIPTOCCURVE44、为了有效的完成工作，信息系统安全部门员工最需要以下哪一项技能？DA、人际关系技能B、项目管理技能C、技术技能D、沟通技能45、保护轮廓（PP）是下面哪一方提出的安全要求？CA、评估方B、开发方C、用户方D、制定标准方46、在执行风险分析的时候，预期年度损失（ALE）的计算是：CA、全部损失乘以发生频率B、全部损失费用＝实际替代费用C、单次预期损失乘以发生频率D、资产价值乘以发生频率47、有三种基本的鉴别的方式：你知道什么，你有什么，以及：CA、你需要什么B、你看到什么C、你是什么D、你做什么48、以下哪个选项不是信息中心（IC）工作职能的一部分？AA、准备最终用户的预算B、选择PC的硬件和软件C、保持所有PC的硬件和软件的清单D、提供被认可的硬件和软件的技术支持49、在最近一次工资数据更新之后，一个未经授权的员工从公司的计算机中心得到了打印的公司数据表，为保证只有经授权的员工才能得到敏感的打印数据，控制手段包括日志和：AA、有控制地销毁作废的打印数据B、接收人的签名确认C、对磁盘上的打印输出文件进行访问控制D、敏感打印数据的强制过期日期50、下面哪一个是国家推荐性标准？AA、GB/T18020-1999应用级防火墙安全技术要求B、SJ/T30003-93电子计算机机房施工及验收规范C、GA243-2000计算机病毒防治产品评级准则D、ISO/IEC15408-1999信息技术安全性评估准则51、为了确定自从上次合法的程序更新后程序是否被非法改变过，信息系统安全审核员可以采用的审计技术是：AA、代码比照B、代码检查C、测试运行日期D、分析检查52、在WINDOWS2000系统中，哪个进程是IIS服务的进程？AA、Inetinfo.exeB、Lsass.exeC、Mstask.exeD、Internat.exe53、下面哪一个用于电子邮件的鉴别和机密性?CA、数字签名B、IPSECAHC、PGPD、MD454、在某个攻击中，入侵者通过由系统用户或系统管理员主动泄漏的可以访问系统资源的信息，获得系统访问权限的行为被称作：AA、社会工程B、非法窃取C、电子欺骗D、电子窃听55、CC的一般模型基于：AA、风险管理模型B、Belllapadula模型C、PDCA模型D、PDR模型56、ITSEC中的E1-E5对应TCSEC中哪几个级别？ACA、D到B2B、C2到B3C、C1到B3D、C2到A157、事件响应方法学定义了安全事件处理的流程，这个流程的顺序是：CA、准备－抑制－检测－根除－恢复－跟进B、准备－检测－抑制－恢复－根除－跟进C、准备－检测－抑制－根除－恢复－跟进D、准备－抑制－根除－检测－恢复－跟进58、PDR模型中，下面哪个措施不属于防护(P)措施：CA、物理门禁B、防火墙C、入侵检测D、加密59、CC中的评估保证级（EAL）4级涵义是：CA、结构测试级B、方法测试和校验级C、系统的设计、测试和评审级D、半形式化设计和测试级60、以下哪一项是已经被确认了的具有一定合理性的风险？CA、总风险B、最小化风险C、可接受风险D、残余风险61、随着全球信息化的发展，信息安全成了网络时代的热点，为了保证我国信息产业的发展与安全，必须加强对信息安全产品、系统、服务的测评认证，中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构，以下对其测评认证工作的错误认识是：DA、测评与认证是两个不同概念，信息安全产品或系统认证需经过申请、测试、评估、认证一系列环节。B、认证公告将在一些媒体上定期发布，只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。C、对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。D、通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。62、下列哪一项是磁介质上信息擦除的最彻