在当今这个飞速发展的数字化时代,信息安全已攀升至前所未有的战略地位,其重要性日益凸显,不容忽视。为了激励并引导有志青年迈向网络安全专家的卓越之路,我们精心策划了一套内容丰富、结构严谨的CISP(注册信息安全专业人员)备考模拟试题集,共计20道精选题目。该试题集全面覆盖了信息安全领域的核心理论与关键技术,同时精准复刻了实际考试中的难度层次与题型特征,旨在为考生打造一个高度仿真的备考场景,助力他们在实战中游刃有余,迈向成功。
1.某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点的服务器的
运行速度缓慢,为了找到根本愿因,他应该首先检查
A.灾难恢复站点的错误事件报告
答案(a) 答题解析: 按照灾难恢复流程,首先检查错误事件报告。
2.下面关于信息系统安全保障的说法不正确的是
B.信息系统安全保障要素包括信息的完整性、可用性和保密性
答案(b) 答题解析: 信息系统安全保障要素为技术、工程、管理和人员四个领域。信息系统安全保障的安 全特征是完整、保密和可用性。
3.信息系统安全工程(ISMS)的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因
素,在 IT 项目的立项阶段,以下哪一项不是必须进行的工作
D.通过测试证明系统的功能和性能可以满足安全要求答案(d)
答题解析: D 属于项目的验收阶段,不属于 IT 项目的立项阶段,题干属于立项阶段。
4.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,
BP),正确的理解是
C.一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
答案© 答题解析:A 错误,BP 是基于最佳的工程过程实践;B 错误,BP 是经过测试的;D 错误,一项 BP 和其他的 BP 是不重复。
5.层次化的文档是信息安全管理体系《Information Security Management
System.ISMS》建设的直接体系,也是 ISMS 建设的成果之一,通常将 ISMS 的文档
结构规划为 4 层金字塔结构,那么,以下选项()应放入到一级文件中
D.《单位信息安全方针》
答案(d) 答题解析: 正确答案为 D。一级文件中一般为安全方针、策略文件;二级文件中一般为管理规范 制度;三级文件一般为操作手册和流程;四级文件一般表单和管理记录。
6.某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周
期的讨论,在下面的发言观点中,正确的是
B.应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发
布以后进行漏洞修复所花的代价少得多。
答案(b) 答题解析: 答案为 B。A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL 最大的特点 是增加了安全培训和应急响应。D-第三方测试是必要的软件安全测试类型。
7.为增强 Web 应用程序的安全性,某软件开发经理决定加强 Web 软件安全开发培
训,下面哪项内容不在考虑范围内
D.关于 ARM 系统漏洞挖掘方面安全知识的培训
答案(d) 答题解析: D 属于 ARM 系统,不属于 WEB 安全领域。
8.小李去参加单位组织的信息安全管理体系(Information Security Management
System.ISMS)的理解画了以下一张图(图中包括了规划建立、实施运行、保持和改进),
但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()
C.监视和评审 ISMS
答案© 答题解析: 管理体系 PDCA 分别指的阶段是:P-规划建立、D-实施运行、C-监视和评审、A-保持和改进。
9.微软 SDL 将软件开发生命周期制分为七个阶段,并列出了十七项重要的安全活动。
其中“弃用不安全的函数”属于()的安全活动
C.实施阶段
答案© 答题解析: 七个阶段为培训,要求,设计,实施,验证,发布和响应,弃用不安全的函数为编码实施阶段
10.《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)中关于信息系统
生命周期各阶段的风险评估描述不正确的是
D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种非常全
面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面
答案(d) 答题解析: 该题目来源于《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007),其原文描述 D 为“是一种较为全面的风险评估”。
11.下面的角色对应的信息安全职责不合理的是
B.信息安全部门主管——提供各种信息安全工作必须的资源
答案(b) 答题解析:通常由管理层提供各种信息安全工作必须的资源。
12.为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征
D.可以让系统的所有用户方便的读取
答案(d)答题解析: 日志只有授权用户可以读取。
13.在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容
A.审核实施投资计划
答案(a) 答题解析: 监理从项目招标开始到项目的验收结束,在投资计划阶段没有监理
14.为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能
卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法?
A.实体“所知”以及实体“所有”的鉴别方法
答案(a) 答题解析: 题目中安全登录会涉及到账号密码为实体所知,智能卡和短信是实体所有。
15.软件安全设计和开发中应考虑用户隐私包,以下关于用户隐私保护的说法哪个是错
误的?
C.用户提交的用户名和密码属于隐私数据,其它都不是
答案© 答题解析: 个人隐私包括但不限于用户名密码、位置、行为习惯等信息
16.下面哪一项不是虚拟专用网络(VPN)协议标准
C.终端访问控制器访问控制系统(TACACS+)
答案© 答题解析: TACACS+是 AAA 权限控制系统,不属于 VPN
17.在 OSI 参考模型中有 7 个层次,提供了相应的安全服务来加强信息系统的安全性,
以下哪一层提供了保密性、身份鉴别、数据完整性服务。
A.网络层
答案(a) 答题解析: 网络层和应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务。
18.某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理
和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全哪项原则
B.权限分离
答案(b) 答题解析: 权限分离是将一个较大的权限分离为多个子权限组合操作来实现
19.以下关于 PGP(Pretty Good Privacy)软件叙述错误的是
D.PGP 采用 SHA 算法加密邮件
答案(d) 答题解析:SHA不提供加密,SHA是摘要算法提供数据完整性校验
20.在数据库安全性控制中,授权的数据对象( ),授权子系统就越灵活
A.粒度越小
答案(a) 答题解析: 数据粒度越细则授权策略越灵活便利。
另外还有白皮书和上面题库文档版本可找我拿,无偿!
618
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
