CISP整理试题及答案讲解

1.在橙皮书的概念中，信任是存在于以下哪一项中的？A.操作系统B.网络C.数据库D.应用程序系统答案：A2.下述攻击手段中不属于DOS攻击的是:（）A.Smurf攻击B.Land攻击C.Teardrop攻击D.CGI溢出攻击答案：D。3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为：（）A.“普密”、“商密”两个级别B.“低级”和“高级”两个级别C.“绝密”、“机密”、“秘密”三个级别D.“一密”、“二密”、“三密”、“四密”四个级别答案：C。4.应用软件测试的正确顺序是：A.集成测试、单元测试、系统测试、验收测试B.单元测试、系统测试、集成测试、验收测试C.验收测试、单元测试、集成测试、系统测试D.单元测试、集成测试、系统测试、验收测试答案：选项D。5.多层的楼房中，最适合做数据中心的位置是：A.一楼B.地下室C.顶楼D.除以上外的任何楼层答案：D。6.随着全球信息化的发展，信息安全成了网络时代的热点，为了保证我国信息产业的发展与安全，必须加强对信息安全产品、系统、服务的测评认证，中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构，以下对其测评认证工作的错误认识是：A.测评与认证是两个不同概念，信息安全产品或系统认证需经过申请、测试、评估，认证一系列环节。B.认证公告将在一些媒体上定期发布，只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。C.对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。D.通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。答案：D。7.计算机安全事故发生时，下列哪些人不被通知或者最后才被通知：A.系统管理员B.律师C.恢复协调员D.硬件和软件厂商答案：B。8.下面的哪种组合都属于多边安全模型？A.TCSEC和Bell-LaPadulaB.ChineseWall和BMAC.TCSEC和Clark-WilsonD.ChineseWall和Biba答案：B。9.下面哪种方法可以替代电子银行中的个人标识号（PINs）的作用？A.虹膜检测技术B.语音标识技术C.笔迹标识技术D.指纹标识技术答案：A。10.拒绝服务攻击损害了信息系统的哪一项性能？A.完整性B.可用性C.保密性D.可靠性答案：B。11.下列哪一种模型运用在JAVA安全模型中：A.白盒模型B.黑盒模型C.沙箱模型D.灰盒模型答案：C。12.以下哪一个协议是用于电子邮件系统的？A.X.25B.X.75C.X.400D.X.500答案：C。13.“如果一条链路发生故障，那么只有和该链路相连的终端才会受到影响”，这一说法是适合于以下哪一种拓扑结构的网络的？A.星型B.树型C.环型D.复合型答案：A。14.在一个局域网的环境中，其内在的安全威胁包括主动威胁和被动威胁。以下哪一项属于被动威胁？A.报文服务拒绝B.假冒C.数据流分析D.报文服务更改答案：C。15.ChineseWall模型的设计宗旨是：A.用户只能访问那些与已经拥有的信息不冲突的信息B.用户可以访问所有信息C.用户可以访问所有已经选择的信息D.用户不可以访问那些没有选择的信息答案：A。16.ITSEC中的F1-F5对应TCSEC中哪几个级别？A.D到B2B.C2到B3C.C1到B3D.C2到A1答案：C。17.下面哪一个是国家推荐性标准？A.GB/T18020-1999应用级防火墙安全技术要求B.SJ/T30003-93电子计算机机房施工及验收规范C.GA243-2000计算机病毒防治产品评级准则D.ISO/IEC15408-1999信息技术安全性评估准则答案：A。18.密码处理依靠使用密钥，密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥？A.对称的公钥算法B.非对称私钥算法C.对称密钥算法D.非对称密钥算法答案：C。19.在执行风险分析的时候，预期年度损失（ALE）的计算是：A.全部损失乘以发生频率B.全部损失费用+实际替代费用C.单次预期损失乘以发生频率D.资产价值乘以发生频率答案：C。20.作为业务持续性计划的一部分，在进行风险评价的时候的步骤是：1.考虑可能的威胁2.建立恢复优先级3.评价潜在的影响4.评价紧急性需求A.1-3-4-2B.1-3-2-4C.1-2-3-4D.1-4-3-2答案：A。21.CC中安全功能/保证要求的三层结构是（按照由大到小的顺序）：A.类、子类、组件B.组件、子类、元素C.类、子类、元素D.子类、组件、元素答案：A。22.有三种基本的鉴别的方式:你知道什么，你有什么，以及：A.你需要什么B.你看到什么C.你是什么D.你做什么答案：C。23.为了有效的完成工作，信息系统安全部门员工最需要以下哪一项技能？A.人际关系技能B.项目管理技能C.技术技能D.沟通技能答案：D。24.以下哪一种人给公司带来了最大的安全风险？A.临时工B.咨询人员C.以前的员工D.当前的员工答案：D。25.SSL提供哪些协议上的数据安全：A.HTTP，FTP和TCP/IPB.SKIP，SNMP和IPC.UDP，VPN和SONETD.PPTP，DMI和RC4答案：A。26.在Windows2000中可以察看开放端口情况的是：A.nbtstatB.netC.netshowD.netstat答案：D。27.SMTP连接服务器使用端口A.21B.25C.80D.110答案：选项B。28.在计算机中心，下列哪一项是磁介质上信息擦除的最彻底形式?A.清除B.净化C.删除D.破坏答案：D。29.以下哪一种算法产生最长的密钥？A.Diffe-HellmanB.DESC.IDEAD.RSA答案：D。30.下面哪一种风险对电子商务系统来说是特殊的？A.服务中断B.应用程序系统欺骗C.未授权的信息泄漏D.确认信息发送错误答案：D。31.以下哪一项不属于恶意代码？A.病毒B.蠕虫C.宏D.特洛伊木马答案：C。32.下列哪项不是信息系统安全工程能力成熟度模型（SSE-CMM）的主要过程：A.风险过程B.保证过程C.工程过程D.评估过程答案：D33.目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多门，《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度？A.公安部B.国家保密局C.信息产业部D.国家密码管理委员会办公室答案：B。34.为了保护DNS的区域传送（zonetransfer），你应该配置防火墙以阻止1.UDP2.TCP3.534.52A.1，3B.2，3C.1，4D.2，4答案：B。35.在选择外部供货生产商时，评价标准按照重要性的排列顺序是：1.供货商与信息系统部门的接近程度2.供货商雇员的态度3.供货商的信誉、专业知识、技术4.供货商的财政状况和管理情况A.4，3，1，2B.3，4，2，1C.3，2，4，1D.1，2，3，4答案：B。36.机构应该把信息系统安全看作：A.业务中心B.风险中心C.业务促进因素D.业务抑制因素答案：C。37.输入控制的目的是确保：A.对数据文件访问的授权B.对程序文件访问的授权C.完全性、准确性、以及更新的有效性D.完全性、准确性、以及输入的有效性答案：选项D。38.以下哪个针对访问控制的安全措施是最容易使用和管理的？A.密码B.加密标志C.硬件加密D.加密数据文件答案：C。39.下面哪种通信协议可以利用IPSEC的安全功能？I.TCPII.UDPIII.FTPA.只有IB.I和IIC.II和IIID.IIIIII答案：D。40.以下哪一种模型用来对分级信息的保密性提供保护？A.Biba模型和Bell-LaPadula模型B.Bell-LaPadula模型和信息流模型C.Bell-LaPadula模型和Clark-Wilson模型D.Clark-Wilson模型和信息流模型答案：B。41.下列哪一项能够提高网络的可用性？A.数据冗余B.链路冗余C.软件冗余D.电源冗余答案：选项B。42.为了阻止网络假冒，最好的方法是通过使用以下哪一种技术？A.回拨技术B.呼叫转移技术C.只采用文件加密D.回拨技术加上数据加密答案：D。43.一下那一项是基于一个大的整数很难分解成两个素数因数？A.ECCB.RSAC.DESD.Diffie-Hellman答案：B。44.下面哪一项是对IDS的正确描述？A.基于特征（Signature-based）的系统可以检测新的攻击类型B.基于特征（Signature-based）的系统比基于行为（behavior-based）的系统产生更多的误报C.基于行为（behavior-based）的系统维护状态数据库来与数据包和攻击相匹配D.基于行为（behavior-based）的系统比基于特征（Signature-based）的系统有更高的误报答案：D。45.ISO9000标准系列着重于以下哪一个方面？A.产品B.加工处理过程C.原材料D.生产厂家答案：B46.下列哪项是私有IP地址?A.10.5.42.5B.172.76.42.5C.172.90.42.5D.241.16.42.5答案：A47.以下哪一项是和电子邮件系统无关的？A.PEM（Privacyenhancedmail）B.PGP（Prettygoodprivacy）C.X.500D.X.400答案：C。48.系统管理员属于A.决策层B.管理层C.执行层D.既可以划为管理层，又可以划为执行层答案：C。49.为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？A.进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码B.进行离职谈话，禁止员工账号，更改密码C.让员工签署跨边界协议D.列出员工在解聘前需要注意的所有责任答案：A。50.职责分离是信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员（单独进行操作）可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背？A.数据安全管理员B.数据安全分析员C.系统审核员D.系统程序员答案：D。51.下面哪一种攻击方式最常用于破解口令？A.哄骗（spoofing）B.字典攻击（dictionaryattack）C.拒绝服务（DoS）D.WinNuk答案：B。52.下面哪一项组成了CIA三元组？A.保密性，完整性，保障B.保密性，完整性，可用性C.保密性，综合性，保障D.保密性，综合性，可用性答案：B。53.Intranet没有使用以下哪一项？A.Java编程语言B.TCP/IP协议C.公众网络D.电子邮件答案：C。54.TCP三次握手协议的第一步是发送一个:A.SYN包B.ACK包C.UDP包D.null包答案：A。55.在企业内部互联网中，一个有效的安全控制机制是：A.复查B.静态密码C.防火墙D.动态密码答案：C。56.从安全的角度来看，运行哪一项起到第一道防线的作用：A.远端服务器B.Web服务器C.防火墙D.使用安全shell程序答案：C。57.对于一个机构的高级管理人员来说，关于信息系统安全操作的最普遍的观点是：A.费用中心B.收入中心C.利润中心D.投资中心答案：A。58.一个数据仓库中发生了安全性破坏。以下哪一项有助于安全调查的进行？A.访问路径B.时戳C.数据定义D.数据分类答案：B。59.在客户/服务器系统中，安全方面的改进应首先集中在：A.应用软件级B.数据库服务器级C.数据库级D.应用服务器级答案：选项C。60.下面哪种方法产生的密码是最难记忆的？A.将用户的生日倒转或是重排B.将用户的年薪倒转或是重排C.将用户配偶的名字倒转或是重排D.用户随机给出的字母答案：D。61.从风险分析的观点来看，计算机系统的最主要弱点是：A.内部计算机处理B.系统输入输出C.通讯和网络D.外部计算机处理答案：B。62.下列哪一个说法是正确的？A.风险越大，越不需要保护B.风险越小，越需要保护C.风