CISP培训模拟题(3)答案

银长城信息技术有限公司北京银长城信息技术有限责任公司电话：(010)68004665-625网址：地址：北京市阜外大街11号国宾写字楼602室1CISP模拟练习题（3）一、模型和保障体系信息安全保障体系信息安全模型信息安全测评认证1、以下哪些模型可以用来保护分级信息的机密性？ABiba模型和Bell－Lapadula模型；BBell－Lapadula模型和信息流模型；CBell－Lapadula模型和Clark－Wilson模型；DClark－Wilson模型和信息流模型答案：B参考：《理论和技术》P41-56多级安全模型：Bell－Lapadula模型（机密性），Clark－Wilson模型（完整性），Biba模型（完整性）多边安全模型：ChineseWall模型，BMA模型机密性模型：1、信息流模型（非干扰性，非观察性）；2、访问控制模型：MAC强制（BLP，ChineseWall），DAC自主，RBAC基于角色的访问控制完整性模型：Clark－Wilson模型，Biba模型2、在以下哪种安全模型中，系统的访问至少在最高层是安全的？A多级安全模型；BDedicated安全模型；CCompartmented安全模型；D受控模型答案：C3、给计算机系统的资产分配的记号被称为什么？A安全属性；B安全特征；C安全标记；D安全级别银长城信息技术有限公司北京银长城信息技术有限责任公司电话：(010)68004665-625网址：地址：北京市阜外大街11号国宾写字楼602室2答案：C参考：《标准和法规》P85，安全标签，敏感性标签，敏感性标记4、BMA模型是基于?答案：5、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？A必须是TAMPERPROOFB必须足够大C必须足够小D必须总在其中答案：B参考：《标准和法规》P86CC（15408-3）AreferencemonitorisanabstractmachinethatenforcestheaccesscontrolpoliciesofaTOE.Areferencevalidationmechanismisanimplementationofthereferencemonitorconceptthatpossessesthefollowingproperties:tamperproof,alwaysinvoked,andsimpleenoughtobesubjectedtothoroughanalysisandtesting.TheTSFmayconsistofareferencevalidationmechanismand/orothersecurityfunctionsnecessaryfortheoperationoftheTOE.二、标准和法律法规信息安全标准信息安全法律法规6、ITSEC标准不包括以下哪方面内容？A功能要求；B通用框架要求；C保证要求；D特定系统的安全要求答案：B参考：《标准和法规》P166，D是指“安全目标”银长城信息技术有限公司北京银长城信息技术有限责任公司电话：(010)68004665-625网址：地址：北京市阜外大街11号国宾写字楼602室37、CTCPEC标准中，安全功能要求包括以下哪方面内容？A机密性要求；B完整性要求；C保证要求；D可用性要求；E可控性要求答案：A、B、D、E参考：《标准和法规》P1668、“保护轮廓”最早出现于哪一个标准？A国际标准ISO/IEC15408；B美国FC标准；C可信计算机系统评估准则TCSEC；D信息技术安全性评估准则ITSECE通用评估准则CC2.0答案：B参考：《标准和法规》P1669、桔皮书主要强调了信息的哪个属性？A完整性B机密性C可用性D有效性答案：B10、ITSEC的功能要求不包括以下哪方面内容？A机密性B完整性C可用性D有效性答案：D11、我国标准分为几级？级级银长城信息技术有限公司北京银长城信息技术有限责任公司电话：(010)68004665-625网址：地址：北京市阜外大街11号国宾写字楼602室4级级答案：B参参考考：：《《标标准准和和法法规规》》PP3300：：国国家家标标准准，，行行业业标标准准，，地地方方标标准准，，企企业业标标准准12、下面哪一个是国家推荐性标准？GB/T18020-1999应用级防火墙安全技术要求SJ/T30003-93电子计算机机房施工及验收规范GA243-2000计算机病毒防治产品评级准则ISO/IEC15408-1999信息技术安全性评估准则答案：A13、标准采用中的“idt”指的是？等效采用等同采用修改采用非等效采用答案：B参参考考：：《《标标准准和和法法规规》》PP1199：：iiddtt等等同同，，MMOODD修修改改，，NNEEQQ非非等等效效参考：《标准和法规》P19：14、著名的TCSEC是由下面哪个组织制定的？ISOIECCNITSEC美国国防部答案：D15、TCP/IP协议的4层概念模型是？应用层、传输层、网络层和网络接口层应用层、传输层、网络层和物理层应用层、数据链路层、网络层和网络接口层会话层、数据链路层、网络层和网络接口层答案：A参参考考：：《《理理论论和和技技术术》》PP7755，，《《标标准准和和法法规规》》PP440016、CC标准主要包括哪几个部分？简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南；银长城信息技术有限公司北京银长城信息技术有限责任公司电话：(010)68004665-625网址：地址：北京市阜外大街11号国宾写字楼602室5简介和一般模型、安全功能要求、安全保证要求通用评估方法、安全功能要求、安全保证要求简介和一般模型、安全要求、PP和ST产生指南答案：B17、CC中安全功能/保证要求的三层结构是（按照由大到小的顺序）？类、子类、元素组件、子类、元素类、子类、组件子类、组件、元素答案：C18、CC中的评估保证级（EAL）分为多少级？6级7级5级4级答案：B19、CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？对应TCSECB1级，对应ITSECE4级对应TCSECC2级，对应ITSECE4级对应TCSECB1级，对应ITSECE3级对应TCSECC2级，对应ITSECE3级答案：C参参考考：：《《标标准准和和法法规规》》PP116677，，PP118866：：注注意意规规律律，，先先对对应应IITTSSEECCEEAALL22：：CC11；；EE11EEAALL33：：CC22；；EE22EEAALL44：：BB11；；EE33EEAALL55：：BB22；；EE44EEAALL66：：BB33；；EE55EEAALL77：：AA11；；EE6620、PP中的安全需求不包括下面哪一个？（安全环境）有关环境的假设对资产的威胁银长城信息技术有限公司北京银长城信息技术有限责任公司电话：(010)68004665-625网址：地址：北京市阜外大街11号国宾写字楼602室6组织安全策略IT保证安全要求答案：D21、中国信息安全产品测评认证中心的四项业务是什么？A.产品测评认证；B.信息系统安全测评认证；C.信息系统安全服务资质认证；D.注册信息安全专业人员资质认证答案：ABCD22、信息技术安全标准化组织有哪些？ISO/IECITU答案：AB参考：《标准和法规》P7，P8，P16国际标准化组织：ISO（国际标准化组织）和IEC（国际电工委员会）ISO－InternationalOrganizationforStandardization（成立于1947年）IEC－InternationalElectricityCommitteeISO/IECJTC1：负责信息技术领域的国际标准的制定ISO/IECJTC1/SC27：专门从事通用信息技术安全技术和安全机制的标准的制定ISO/IECJTC1/SC6，SC17，SC18，SC21，SC22，SC30等6个分技术委员会：分别承担一部分信息技术安全标准的制定ISO/TC68：负责行业应用信息安全标准的制定ITU-T国际电信联盟的电信标准化部门，单独或与ISO/IEC联合制定标准其他：ISO/TC176：质量管理和质量保证技术委员会制定了ISO9000族标准23、我国的推荐性国家标准的写法是什么？答案：A银长城信息技术有限公司北京银长城信息技术有限责任公司电话：(010)68004665-625网址：地址：北京市阜外大街11号国宾写字楼602室724、我国的强制性国家标准的写法？答案：A25、CC2.0对应的国际标准是什么？ISO/IEC15408-1999答案：A26、CC2.0对应的国家标准是什么？GB/T18336-2001答案：A27、关于PP，哪一个论述是正确的？A.是针对一类产品或系统，为既定的一系列安全对象提出功能和保证要求的完备集合，可复用集合，是对各种应用的抽象。B.一般由用户提出C.与实现无关D.对业务/商业拥有者、用户、开发者、评估者和审计者都有用答案：A,B,C,D参考：《标准与法规》P1801、针对一类产品或系统：为既定的一系列安全对象提出功能和保证要求的完备集合，可复用集合，对各种应用的抽象。2、一般由用户提出，类似招标书，需要什么（need），PP是用户要求的根本陈述，用户希望达到什么程度。3、与实现无关。（implementation-independent）4、对业务/商业拥有者、用户、开发者、评估者和审计者都有用28、关于ST，哪一个论述是正确的？针对特定TOE银长城信息技术有限公司北京银长城信息技术有限责任公司电话：(010)68004665-625网址：地址：北京市阜外大街11号国宾写字楼602室8由开发者提供与实现无关与实现有关答案：ABD参参考考：：《《标标准准与与法法规规》》PP11880011、、针针对对特特定定TTOOEE，，如如WWiinnddoowwss22000000。。22、、由由开开发发者者提提供供，，类类似似投投标标书书，，提提供供什什么么（（pprroovviiddee））。。33、、与与实实现现有有关关。。（（iimmpplleemmeennttaattiioonn--ddeeppeennddeenntt））29、CC标准的EAL4是什么？系统地测试和检查答案：A参参考考：：《《标标准准与与法法规规》》PP118844--11886630、我国标准分为几级？级级级级答案：B三、网络技术防火墙技术入侵检测技术密码技术PKI/CAVPN四、操作系统和数据库银长城信息技术有限公司北京银长城信息技术有限责任公司电话：(010)68004665-625网址：地址：北京市阜外大街11号国宾写字楼602室9Windows安全管理Unix安全管理数据库安全管理恶意代码安全编程安全攻防网络与通信安全31、OSI中哪一层不提供机密性服务？A表示层B传输层C网络层D会话层答案：D参参考考：：《《标标准准和和法法规规》》PP3388表表44--11有有错错误误，，《《理理论论和和技技术术》》PP6666，，表表44--22，，第第55层层，，会会话话层层不不提提供供安安全全服服务务32、下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一？数据完整性数据机密性公证抗抵赖答案：C参参考考：：《《理理论论和和技技术术》》PP5588，，《《标标准准和和法法规规》》PP338855种种安安全全服服务务：：鉴鉴别别服服务务、、访访问问控