蕞新CISP模拟考试题库及答案

在当今数字化时代，信息安全的重要性不言而喻。为了帮助有志于成为网络安全专家的你，我们精心挑选了20道CISP模拟题。这些题目不仅覆盖了广泛的安全知识领域，还模拟了真实考试的难度和风格。通过这些练习，你将能够检验自己的理论知识和实践技能，为即将到来的CISP认证考试做好充分的准备。

1.关于信息安全保障技术框架(IATF)，以下说法不正确的是
D.IATF 深度防御战略要求在网络体系结构各个可能位置实现所有信息安全保障机制
答案(d)答题解析：IATF 是在网络的关键位置实现所需的安全机制

2.以下关于软件安全测试说法正确的是
B.FUZZ 测试是经常采用的安全测试方法之一
答案(b)答题解析：FUZZ 测试是经常采用的安全测试方法之一，软件安全测试包括模糊测试（fuzz 测试）、渗透测试、静态代码安全测试。

3.下面哪项属于软件开发安全方面的问题
C.应用软件存在 SQL 注入漏洞，若被黑客利用能窃取数据库所用数据
答案© 答题解析：ABD 与软件安全开发无关。

4.某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是
C.指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题
答案©答题解析：指纹识别系统存在安全威胁问题，同时存在着错误拒绝率和错误接受率的问题。

5.由于频繁出现计算机运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是
C.要求统一采用 Windows8 系统进行开发，不能采用之前的 Windows 版本
答案©答题解析：统一采用 Windows8 系统对软件安全无帮助。

6.对信息安全风险评估要素理解正确的是
A.资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构
答案(a)答题解析：B错误，应该是抽样评估；C错误，应该其描述的是差距分析；D 错误，应该是威胁包括人为威胁和环境威胁。

7.自 2004 年 1 月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作意见，协调一致后由该组织申报
B.全国信息安全标准化技术委员会(TC260)
答案(b)答题解析：答案为B。

8.在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的
B.为测试系统中的数据部署完善的备份与恢复措施
答案(b)答题解析：A、C、D 为测试系统必须要执行的，B 用于测试的包含个人隐私和其它敏感信息的实际生产系统中的数据不具备备份和恢复的价值。

9.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公开招标选择 M 公司为承建单位，并选择了 H 监理公司承担该项目的全程监理工作，目前，各个应用系统均已完成开发，M 公司已经提交了验收申请，监理公司需要对 A 公司提交的软件配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档
D.需求说明书
答案(d)答题解析：ABC 其均属于项目管理文档。需求说明书、设计说明书、测试方案、测试用例等属于开发类文档。

10.某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一类
C.个人网银系统对用户身份的单向鉴别
答案©答题解析：题干为网银系统对用户的鉴别

11.软件安全设计和开发中应考虑用户隐私包，以下关于用户隐私保护的说法哪个是错误的?
C.用户提交的用户名和密码属于隐私数据，其它都不是
答案© 答题解析：个人隐私包括但不限于用户名密码、位置、行为习惯等信息

12.以下场景描述了基于角色的访问控制模型(Role-based Access Control．RBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC 模型，下列说法错误的是
D.RBAC 模型不能实现多级安全中的访问控制
答案(d)答题解析：RBAC 模型能实现多级安全中的访问控制

13.以下关于 PGP(Pretty Good Privacy)软件叙述错误的是
D.PGP 采用 SHA 算法加密邮件
答案(d) 答题解析：SHA不提供加密，SHA是摘要算法提供数据完整性校验

14.某公司系统管理员最近正在部署一台 Web 服务器，使用的操作系统是 windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是
A.网络中单独部署 syslog 服务器，将 Web 服务器的日志自动发送并存储到该 syslog日志服务器中
答案(a)答题解析：在多重备份存储情况下，可以防护日志被篡改的攻击（前提非实时同步）。

15.张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击
D.社会工程学攻击
答案(d)答题解析：D属于社会工程学攻击

16.小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少
D.9 万
答案(d)答题解析：计算公式为 100 万24%（3/8）=9 万

17.信息安全等级保护要求中，第三级适用的正确的是
B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一般损害
答案(b)答题解析：题目中 B 为等级保护三级，该考点为等级保护定级指南

18.以下哪一项是数据完整性得到保护的例子（ ）
B.在提款过程中 ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作（冲正交易，是对一笔交易的反向操作，是指我们在进行转账、取现、交易时，没有操作成功，但却被扣了钱，银行所采取的一种补救手段。）
答案(b) 答题解析：本题中 A 为可用性，B 为完整性，C 是抗抵赖，D 是保密性。冲正是完整性纠正措施，是 Clark-Wilson 模型的应用，解决数据变化过程的完整性。

19.与 PDR 模型相比，P2DR 模型多了哪一个环节?（ ）
D.策略
答案(d)答题解析：PPDR 是指策略、保护、检测和反应（或响应）。PPDR 比 PDR 多策略

20.下列对于信息安全保障深度防御模型的说法错误的是
D.信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”
答案(d)答题解析：正确描述是从内而外，自上而下，从端到边界的防护能力

更多题目通过下方名片找到我哦，还可免费分享cisp白皮书一份