「CISP题库精讲」CISP题库习题解析精讲5道

第一题

下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则？（）

A：《关于加强政府信息系统安全和保密管理工作的通知》
B：《中华人民共和国计算机信息系统安全保护条例》
C：《国家信息化领导小组关于加强信息安全保障工作的意见》 ✅
D：《关于开展信息安全风险评估工作的意见》

💖 解析💖

A选项的关键词是政府信息系统，只针对政府的电脑系统。

B选项是一个保护电脑系统的条例。

C选项是关于怎么加强保护信息安全的，而且紧扣了题目当中的信息安全保障工作这几个字。

D选项是关于怎么评估信息安全风险的，这个更像是一个“检查清单”，而不是主要原则。

第二题

信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现对组织内部信息安全的有效管理，实施常规的控制措施，不包括哪些选项？( )

A：信息安全的管理承诺、信息安全协调、信息安全职责的分配
B：信息处理设施的授权过程、保密性协议、与政府部门的联系
C：与特定利益集团的联系，实施信息安全的独立评审 ✅
D：与外部各方相关风险的识别、处理外部各方协议中的安全问题

💖 解析💖

A选项里的事情，就像是团队里的领导要承诺保护信息安全，然后要有人来协调这个工作，还要分配好每个人的任务。这些都是团队内部管理信息安全必须要做的。

B选项里的事情，包括了授权谁可以用电脑设备，签署保密协议，还有和政府部门保持联系。这些也是为了保护信息安全，通常也是需要做的。

C选项里的事情，提到了和特定的利益集团联系，还有进行独立的信息安全评审。这个听起来有点特殊，不是每个团队都会去做的，所以这个可能是不需要的。

D选项里的事情，是关于识别和外部各方相关的风险，处理和外部协议中的安全问题。这个也是为了保护信息安全，通常也是需要做的。

选项的扩展：

A选项：

• 管理承诺：一家大型银行的CEO可能会承诺投资数百万美元用于加强银行的信息安全系统，以保护客户数据和防止金融诈骗。
• 信息安全协调：一个跨国公司可能会设立一个跨部门的信息安全委员会，由IT、法务、人力资源等部门的代表组成，定期召开会议，协调公司的信息安全策略和措施。
• 信息安全职责分配：在一个软件开发公司中，可能会指定一名首席信息安全官（CISO）负责制定和执行信息安全政策，并确保所有员工了解并遵守这些政策。

B选项：

• 授权过程：一家医院可能会有一个严格的程序来授权新员工访问病人的电子健康记录，这包括背景调查、签署保密协议以及接受相关的信息安全培训。
• 保密性协议：一家科技公司可能会要求其员工在入职时签署保密协议，以防止敏感技术信息泄露给竞争对手。
• 与政府部门联系：在发生重大网络安全事件时，一家公司可能会立即通知国家网络安全应急响应中心，寻求帮助并按照法律要求进行报告。

D选项：

• 风险识别实：一家电子商务公司在与第三方物流公司合作时，可能会进行风险评估，以确保物流公司的信息安全措施能够保护客户数据不被泄露。
• 安全问题处理实：一家云服务提供商在与客户签订服务协议时，可能会包含详细的数据保护条款，明确双方在数据安全方面的责任和义务，以防止数据泄露或未经授权的访问。

第三题

与 PDR 模型相比，P2DR 模型则更强调（）,即强调系统安全的（），并且以安全检测、（）和自适应填充“安全间隙”为循环来提高（）。

A：漏洞监测；控制和对抗；动态性；网络安全
B：动态性；控制和对抗；漏洞监测；网络安全
C：控制和对抗；漏洞监测；动态性；网络安全
D：控制和对抗；动态性；漏洞监测；网络安全 ✅

💖 解析💖

你经营着一家非常受欢迎的糖果店（你的网络系统），你想要确保店里的糖果（数据）不被坏蛋（黑客）偷走。你有一个基础的防盗系统PDR，它包括：

• 防护（Protection）：就像是你的糖果店门口的保安，他负责检查每个进入店里的人，确保他们不会偷糖果。
• 检测（Detection）：这就像是店里的监控摄像头，它能够捕捉到任何可疑的行为，比如有人试图打开糖果柜的锁。
• 响应（Response）：如果监控摄像头捕捉到可疑行为，保安会立即行动，比如抓住坏蛋，或者至少阻止他们得逞。

现在，P2DR模型在PDR的基础上增加了一个新的“P”，代表策略（Policy）。这个策略就像是你的糖果店的经营守则，它详细规定了如何管理糖果店，比如什么时候开门，什么时候关门，保安应该怎么巡逻，以及如何处理突发情况。

现在，我们来看选项：

A选项强调的是漏洞监测（检查糖果店的锁是否牢固），控制和对抗（保安如何阻止坏蛋），动态性（保安如何根据坏蛋的行为变化来调整自己的巡逻路线），以及网络安全（保护糖果不被偷）。

B选项强调的是动态性（保安如何适应坏蛋的新策略），控制和对抗（保安如何控制局面），漏洞监测（检查糖果店的锁），以及网络安全。

C选项和A选项类似，但是把动态性和漏洞监测的顺序换了。

D选项强调的是控制和对抗（保安如何阻止坏蛋），动态性（保安如何适应变化），漏洞监测（检查糖果店的锁），以及网络安全。

题目问的是P2DR模型更强调什么。P2DR模型比PDR模型多了一个“策略”。所以，它更强调的是怎么制定一个好的经营守则（策略）来防止坏蛋，以及如何根据实际情况（动态性）调整保安的工作，同时监测（漏洞监测）糖果店的安全性，并及时响应（响应）任何问题。

所以，正确答案是D：控制和对抗、动态性、漏洞监测和网络安全。这个选项告诉我们，P2DR模型不仅关注防护、检测和响应，还关注制定策略和适应变化，以及监测和及时响应，从而提高糖果店（网络系统）的安全性。

第四题

小李在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。在一次培训的时候，小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项？（）

A：风险评估方法包括：定性风险分析、定量风险分析以及半定量风险分析。
B：定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性。 ✅
C：定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值，
因此更具客观性。
D：半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素
的赋值方式，实现对风险各要素的度量数值化。

💖 解析💖

A选项：小李说，我们可以靠感觉（定性）、用计算器（定量）或者两者结合（半定量）来判断风险。这个说法是对的，就像有时候我们会凭直觉觉得今天可能会下雨，有时候我们会看天气预报的准确数字，或者我们会结合两者来判断。

B选项：小李说，定性风险分析就是凭直觉，随便猜猜，具有随意性。这个说法是错误的。虽然定性分析确实需要直觉，但它不是随便猜的。这就像是小李会根据自己多年的开店经验，比如看到乌云密布，就会觉得今天可能会下雨，这不是随便猜的。

C选项：小李说，定量风险分析就像是用数学公式来计算，这样更准确。这个说法是对的，就像小李会计算如果下雨，他可能会损失多少糖果，这样的计算可以给出一个确切的数字。

D选项：小李说，半定量风险分析就是用一种介于感觉和计算器之间的方法。这个说法也是对的，就像小李可能会根据天气预报说有30%的降雨概率，然后结合自己的直觉，来判断今天要不要准备雨伞。

所以，错误的论点是B。定性风险分析不是随便猜的，它是基于专业知识和经验的判断。

第五题

某网络安全公司基于网络的实时入侵检测技术，动态检测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别。但入侵检测技术不能实现以下哪种功能？（ ）

A： 检测并分析用户和系统的活动
B： 核查系统的配置漏洞，评估系统关键资源和数据文件的完整性
C： 防止 IP 地址欺骗 ✅
D： 识别违反安全策略的用户活动

💖 解析💖

这个网络安全公司有一种技术，就像是个超级警卫，能够实时监控网络，看有没有坏蛋（攻击者）试图闯入或者搞破坏。这个警卫特别擅长发现从外面（互联网）或者里面（公司内部网络）来的攻击，一旦发现就会立刻通知防火墙，让防火墙挡住这些坏蛋，保护网络不被破坏。

A选项：这个警卫可以监控用户和系统在做什么，就像是监控摄像头，可以看到谁在操作电脑，做了哪些操作。

B选项：这个警卫可以检查系统有没有配置错误，就像是检查门窗是否都关好了，确保没有给坏蛋留下可以钻进来的缝隙。同时，它还能检查重要文件和资源是否完整，就像是确认家里的贵重物品都还在不在。

C选项：防止IP地址欺骗。这个就像是防止有人冒充别人的身份混进糖果店。但是，这个警卫做不到这一点，因为它主要是发现和阻止攻击，而不是防止身份被冒充。

D选项：识别违反安全策略的用户活动。这个警卫可以发现哪些行为违反了糖果店的规则，比如不允许在店里跑来跑去，如果有人这么做了，警卫就会记录下来。