「CISP题库精讲」CISP题库习题解析精讲6道

第一题

风险计算原理可以用下面的范式形式化地加以说明：风险值=R（A，T，V)=R(L(T，V)，F(Ia，Va))。以下关于上式各项说明错误的是？

A：R 表示安全风险计算函数，A 表示资产，T 表示威胁，V 表示脆弱性
B：L 表示威胁利资产脆弱性导致安全事件的可能性
C：F 表示安全事件发生后造成的损失
D：Ia，Va 分别表示安全事件作用全部资产的价值与其对应资产的严重程度 ✅

💖 解析💖

你有一栋房子（这就是资产A），但是有一天，你发现房子的门锁不太牢固（这就是脆弱性V），而这时有一个小偷（这就是威胁T）注意到了这一点。

现在，我们来看各个选项怎么和这个情境联系起来：

A选项：R是计算风险的，就像你计算房子被偷的可能性一样。A是房子，T是小偷，V是门锁不牢固。这很好理解，对吧？

B选项：L就像是小偷利用门锁不牢固来偷东西的可能性。这也很好记，因为小偷肯定更愿意偷那些容易进入的房子。

C选项：F是如果房子被偷了，你会损失多少钱或多少东西。这也符合常理，风险不仅仅是事情发生的可能性，还包括发生后带来的损失。

D选项：这里说Ia是全部资产的价值，但在这个情境里，我们只关心这栋房子的价值，而不是你所有的资产。Va是损失的严重程度，这部分是对的，但Ia的说法不对。

所以，简单来说，D选项把“资产”的概念扩大化了，而实际上在这个情境里，我们只关心那栋房子的风险。

第二题

为了进一步提高信息安全的保障能力和防护水平，保障和促进信息化建设的健康发展，公安部等 4 部委联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)，对等级保护工作的开展提供宏观指导和约束，明确了等级保护工作的基本内容、工作要求和实施计划，以及各部门工作职责分工等。关于该文件，下面理解正确的是？

A：该文件是一个由部委发布的政策性文件，不属于法律文件。✅
B：该文件适用于 2004 年的等级保护工作，其内容不能约束到 2005 年及之后的工作。
C：该文件是一个总体性指导文件，规定了所有信息系统都要纳入等级保护定级范围。
D：该文件使用范围为发文的这四个部委，不适用于其他部门和企业等单位。

💖 解析💖

A选项说这个文件是由部委发布的政策性文件，不属于法律文件。这就像是学校里的老师发的通知，告诉你应该怎么做才能保证安全，

但这个通知并不是法律，所以它没有法律那样的强制性。这个文件就是告诉大家在信息安全方面应该怎么做，但它不是法律，所以它的影响力和约束力是有限的。

B选项说这个文件只适用于2004年，这个说法是不对的。就像是一个安全守则，它不会只因为时间变了就失效，它是为了长期指导大家如何保护信息安全的。

C选项说这个文件规定了所有信息系统都要纳入等级保护定级范围。这个说法太过于绝对了，定级范围是要看系统重要性的。

D选项说这个文件只适用于发文的四个部委，不适用于其他部门和企业。这个说法也是不对的，因为这个文件是为了指导全国范围内的信息安全工作，不仅仅是针对那四个部委。

第三题

以下行为不属于违反国家保密规定的行为？

A.将涉密计算机、涉密存储设备接入互联网及其他公共信息网络
B.通过普通邮政等无保密措施的渠道传递国家秘密载体
C.在私人交往中涉及国家秘密
D.以不正当手段获取商业密码✅

💖 解析💖

A选项：想象一下，你有一个装满了秘密的电脑和U盘，然后你把它们连上了互联网，或者放在了一个大家都能随便看的地方。

这就好比你把家里的钥匙放在了邻居家门口，这肯定是不行的，因为这样别人就可能知道你的秘密了。

B选项：这个就像是你把一封很重要的信，通过普通邮寄的方式寄出去，而不是用那种有保密措施的快递。这样信件在传递过程中就可能被别人看到，所以这也是不允许的。

C选项：这个就像是你在和朋友聊天的时候，不小心说出了国家的秘密。这就像是你在说悄悄话的时候，不小心让旁边的人听到了，这也是违反保密规定的。

D选项：这个说的是用不正当的手段去获取别人的商业秘密。这就像是你去偷看别人的日记，或者用黑客手段去窃取别人的商业计划。

虽然这是不对的，但它不属于国家保密规定的内容，而是商业秘密保护的范畴。

所以，正确答案是D。这个选项说的是商业秘密，而不是国家秘密，所以它不属于违反国家保密规定的行为。

第四题

关于源代码审核，描述正确的是？

A：源代码审核过程遵循信息安全保障技术框架模型(IATF)，在执行时应一步一步严格执行
B：源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具包括商业开源工具✅
C：源代码审核如果想要有效率高，则主要依赖人工审核而不是工具审核。因为人工智能的，需要人的脑袋来判断
D：源代码审核能起到很好的安全保证作用。如果执行了源代码审核，则不需要安全测试

💖 解析💖

A选项：这个选项说源代码审核要遵循一个技术框架模型，并且要一步一步严格执行。

这里的问题是，源代码审核确实需要有条不紊地进行，但是“一步一步严格执行”这个表述可能让人误解为审核过程是线性的、单一方向的。

实际上，源代码审核是一个复杂的过程，可能需要反复检查、修正和再次审核。就像做一道复杂的菜，你可能需要尝尝味道，调整调料，然后再尝，直到满意为止。

所以，A选项的描述不够准确，因为源代码审核不是一成不变的线性过程。

B选项：这个选项是正确的，因为源代码审核确实可以帮助发现软件中的安全问题，而且有各种工具可以帮助完成这项工作，无论是商业的还是开源的。

C选项：这个选项说源代码审核主要依赖人工，而不是工具。实际上，现代的源代码审核工具非常强大，可以自动检测出许多潜在的安全问题。

当然，人工审核仍然是必要的，特别是在处理复杂或模糊不清的问题时。但是，工具的使用可以大大提高审核的效率和准确性。所以，C选项的说法不完全正确。

D选项：这个选项说源代码审核可以替代安全测试。这是不正确的，因为源代码审核主要关注代码层面的问题，而安全测试关注的是软件作为一个整体的安全性，包括但不限于代码层面。两者是互补的，而不是相互替代的。

第五题

国务院信息化工作办公室于 2004 年 7 月份下发了《关于做好重要信息系统灾难备份工作的通知》，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则？

A： 统筹规划
B： 分组建设✅
C： 资源共享
D： 平战结合

💖 解析💖

A选项：统筹规划。这个原则就像是你要去旅行前，要做一个全面的计划，包括去哪儿、怎么去、带什么东西等等。在灾难备份中，就是要全面考虑所有可能的情况，做好充分的准备。

B选项：分组建设。这个原则听起来有点抽象，但如果我们用大白话来说，就是把不同的系统分成几个小组，每个小组负责自己的备份工作。这就像是一家人去野餐，爸爸负责烧烤，妈妈负责准备食物，孩子们负责玩耍，大家各司其职。

C选项：资源共享。这个原则的意思是，不同的系统或者部门可以共享备份资源，比如备份设备或者数据存储空间。这就像是大家去野餐，可以共享烧烤架、食物和饮料，这样大家都能享受到野餐的乐趣。

D选项：平战结合。这个原则的意思是，平时的运营和灾难发生时的应急措施要结合起来考虑。就像是一个足球队，平时训练和比赛时的战术是一致的，这样在比赛中才能更好地发挥。

这么看的话，只有B选项的分组建设与这个文件无关。

第六题

应用安全一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是？

A：身份鉴别，应用系统应对登陆的用户进行身份鉴别。只有通过验证的用户才能访问应用系统资源
B：安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限或增加访问
C：剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防止存储在硬盘、内存或缓冲区的信息被非授权的访问
D：机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、机房安全等级、机房的建造和机房的装修等

💖 解析💖

A选项：身份鉴别。这个就像是你进家门需要钥匙，应用系统也要确认你是谁，只有你通过了验证，才能用这个系统。这当然是应用安全的一环。

B选项：安全标记。这个就像是给家里的不同房间贴上标签，比如“爸爸妈妈的房间”、“孩子的房间”，这样大家就知道哪些地方能进，哪些不能进。在应用系统里，也是这样，通过标记来控制谁可以访问什么资源。

C选项：剩余信息保护。这个就像是你用完电脑后，屏幕上不会留下你刚才看过的内容，防止别人通过这些残留的信息猜到你的密码或者看到不该看的东西。这也是应用安全的一部分。

D选项：机房与设施安全。这个听起来像是在说，要确保应用系统所在的“家”（机房）是安全的，比如温度适宜、防火防盗等。这个其实更多是物理安全，而不是应用安全。应用安全主要关注的是软件层面的安全，而不是机房的物理环境。

所以，正确答案是D。这个选项讲的是机房的物理安全，而不是应用安全防护需要考虑的内容。