在当今这个飞速发展的数字化时代,信息安全已跃居至前所未有的战略地位,其重要性伴随着技术的日新月异而持续攀升,成为了一个不容小觑的关键领域。为了激发并引领广大青年才俊积极投身于网络安全专家的崇高事业,我们精心策划并编纂了一套CISP(注册信息安全专业人员)备考模拟试题集,内含20道经过严格筛选的高质量试题。
这套试题集不仅深刻洞察信息安全领域的核心知识体系,紧密追踪技术前沿的最新动态,还巧妙模拟了真实考试的难度层次与题型结构,力求为考生营造一个贴近实战、高效备考的氛围。我们的目标是帮助考生全面掌握信息安全领域的精髓,熟悉考试流程,从而在未来的职业道路上能够自信应对挑战,书写属于自己的辉煌篇章。
-
有关系统安全工程-能力成熟度模型(SSE-CMM),错误的理解是
C.基于 SSE-CMM 的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
答案© 答题解析: SSE-CMM 是系统工程,不可以独立实施。 -
关于信息安全保障技术框架(IATF),以下说法不正确的是
D.IATF 深度防御战略要求在网络体系结构各个可能位置实现所有信息安全保障机制
答案(d) 答题解析: IATF 是在网络的关键位置实现所需的安全机制。 -
层次化的文档是信息安全管理体系《Information Security Management System.ISMS》建设的直接体系,也是 ISMS 建设的成果之一,通常将 ISMS 的文档结构规划为 4 层金字塔结构,那么,以下选项()应放入到一级文件中
D.《单位信息安全方针》
答案(d) 答题解析: 正确答案为 D。一级文件中一般为安全方针、策略文件;二级文件中一般为管理规范制度;三级文件一般为操作手册和流程;四级文件一般表单和管理记录。 -
下面哪项属于软件开发安全方面的问题
C.应用软件存在 SQL 注入漏洞,若被黑客利用能窃取数据库所用数据
答案© 答题解析: ABD 与软件安全开发无关。 -
为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,()规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
B.GB/T 22240-2008《信息系统安全保护等级定级指南》
答案(b) 答题解析: 答案为 B。 -
由于频繁出现计算机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是
C.要求统一采用 Windows8 系统进行开发,不能采用之前的 Windows 版本
答案© 答题解析: 统一采用 Windows8 系统对软件安全无帮助 -
以下哪一项不是信息安全管理工作必须遵循的原则
C.由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低
答案© 答题解析: 安全措施投入应越早则成本越低,C 答案则成本会上升。 -
下面的角色对应的信息安全职责不合理的是
B.信息安全部门主管——提供各种信息安全工作必须的资源
答案(b) 答题解析: 通常由管理层提供各种信息安全工作必须的资源。 -
为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征
D.可以让系统的所有用户方便的读取
答案(d) 答题解析: 日志只有授权用户可以读取。 -
在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容
A.审核实施投资计划
答案(a) 答题解析: 监理从项目招标开始到项目的验收结束,在投资计划阶段没有监理。 -
某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
答案(a) 答题解析: 渗透测试是模拟攻击的黑盒测试,有利于发现系统明显的问题 -
以下场景描述了基于角色的访问控制模型(Role-based Access Control.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位、职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC 模型,下列说法错误的是
D.RBAC 模型不能实现多级安全中的访问控制
答案(d) 答题解析:RBAC 模型能实现多级安全中的访问控制。 -
某公司已有漏洞扫描和入侵检测系统(Intrusion Detection System,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是
D.选购一款同已有安全产品联动的防火墙
答案(d) 答题解析: 在技术条件允许情况下,可以实现IDS和 FW的联动 -
以下关于 PGP(Pretty Good Privacy)软件叙述错误的是
D.PGP 采用 SHA 算法加密邮件
答案(d) 答题解析:SHA 不提供加密,SHA 是摘要算法提供数据完整性校验 -
安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的 Windows 操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全
B.为了方便进行数据备份,安装 Windows 操作系统时只使用一个分区 C,所有数据和
操作系统都存放在 C 盘
答案(b) 答题解析:操作系统和应用安全装应分开不同磁盘部署。 -
张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击
D.社会工程学攻击
答案(d) 答题解析:D 属于社会工程学攻击 -
以下哪一种判断信息系统是否安全的方式是最合理的
D.是否已经将风险控制在可接受的范围内
答案(d) 答题解析:判断风险控制的标准是风险是否控制在接受范围内。 -
信息安全等级保护要求中,第三级适用的正确的是
B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一般损害
答案(b) 答题解析:题目中 B 为等级保护三级,该考点为等级保护定级指南。 -
以下哪一项是数据完整性得到保护的例子( )
B.在提款过程中 ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作(冲正交易,是对一笔交易的反向操作,是指我们在进行转账、取现、交易时,没有操作成功,但却被扣了钱,银行所采取的一种补救手段。)
答案(b) 答题解析:本题中 A 为可用性,B 为完整性,C 是抗抵赖,D 是保密性。冲正是完整性纠正措施,是 Clark-Wilson 模型的应用,解决数据变化过程的完整性。 -
2008 年 1 月 2 日,美国发布第 54 号总统令,建立国家网络安全综合计划 (Comprehensive National Cyber security Initiative,CNCI)。CNCI 计划建立三道防线:第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁;第三道防线,强化未来安全环境.从以上内容,我们可以看出以下哪种分析是正确的
A.CNCI 是以风险为核心,三道防线首要的任务是降低其网络所面临的风险
答案(a) 答题解析:CNCI 第一个防线针对漏洞进行风险控制,第二个防线针对威胁进行风险控制,总体的目标是降低网络风险。B、C、D 答案均无法从题干反应。
另外还有白皮书和上面题库文档版本可找我拿,无偿!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
