CISP备考题库（七）

CISP模拟练习题7：

1. 在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度
   进行测量时，正确的理解是
   A.测量单位是基本实施(Base Practices，BP)
   B.测量单位是通用实践(Generic Practices，GP)
   C.测量单位是过程区域(Process Areas，PA)
   D.测量单位是公共特征(Common Features，CF)
   答案(d)答题解析：测量单位是公共特征。

2. 关于信息安全保障技术框架(IATF)，以下说法不正确的是
   A.分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成
   本
   B.IATF 从人、技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一
   层也无法破坏整个信息基础设施
   C.允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性
   D.IATF 深度防御战略要求在网络体系结构各个可能位置实现所有信息安全保障机制
   答案(d) 答题解析：IATF 是在网络的关键位置实现所需的安全机制。

3. 在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产
   价值的评估，以下选项中正确的是
   A.资产的价值指采购费用
   B.资产的价值指维护费用
   C.资产的价值与其重要性密切相关
   D.资产的价值无法估计
   答案©答题解析：答案为 C。

4. 为增强 Web 应用程序的安全性，某软件开发经理决定加强 Web 软件安全开发培
   训，下面哪项内容不在考虑范围内
   A.关于网站身份鉴别技术方面安全知识的培训
   B.针对 OpenSSL 心脏出血漏洞方面安全知识的培训
   C.针对 SQL 注入漏洞的安全编程培训
   D.关于 ARM 系统漏洞挖掘方面安全知识的培训
   答案(d)答题解析：D 属于 ARM 系统，不属于 WEB 安全领域。

5. 下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加
   强信息安全工作的主要原则
   A.《关于加强政府信息系统安全和保密管理工作的通知》
   B.《中华人民共和国计算机信息系统安全保护条例》
   C.《国家信息化领导小组关于加强信息安全保障工作的意见》
   D.《关于开展信息安全风险评估工作的意见》
   答案©答题解析：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办 2003 年 27 号文件）规定了信息安全工作的原则，例如立足国情、以我为主、坚持技管并重等。

6. 关于源代码审核，描述正确的是
   A.源代码审核过程遵循信息安全保障技术框架模型(IATF)，在执行时应一步一步严格执
   行
   B.源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具
   C.源代码审核如果想要有效率高，则主要依赖人工审核而不是工具审核，因为人工智
   能的，需要人的脑袋来判断
   D.源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测
   试
   答案(b)
   答题解析：A错误，因为 IATF 不用于代码审核；C 错误，因为人工和攻击相结合；D 错误，安全测试由需求确定。

7. 对信息安全风险评估要素理解正确的是
   A.资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可
   以是业务系统，也可以是组织机构
   B.应针对构成信息系统的每个资产做风险评价
   C.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的
   差距项D.信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
   答案(a)
   答题解析：B错误，应该是抽样评估；C 错误，应该其描述的是差距分析；D 错误，应该是威胁包括人为威胁和环境威胁。

8. 以下哪些是需要在信息安全策略中进行描述的
   A.组织信息系统安全架构
   B.信息安全工作的基本原则
   C.组织信息安全技术参数
   D.组织信息安全实施手段
   答案(b)答题解析：安全策略是宏观的原则性要求，不包括具体的架构、参数和实施手段。

9. 以下哪一项不属于信息安全工程监理模型的组成部分
   A.监理咨询支撑要素
   B.控制和管理手段
   C.监理咨询阶段过程
   D.监理组织安全实施
   答案(d)答题解析：信息安全工程监理的信息安全工程监理模型由三部分组成，即咨询监理支撑要素（组织结构、设施设备、安全保障知识、质量管理）、监理咨询阶段过程和控制管理措施（“三控制、两管理、一协调”，即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调）

10. 以下关于灾难恢复和数据备份的理解，说法正确的是
    A.增量备份是备份从上次完全备份后更新的全部数据文件
    B.依据具备的灾难恢复资源程度的不同，灾难恢复能力分为 7 个等级
    C.数据备份按数据类型划分可以划分为系统数据备份和用户数据备份
    D.如果系统在一段时间内没有出现问题，就可以不用再进行容灾演练了
    答案©答题解析：A错误，因为差分备份是上次全备后的更新数据；增量备份是任何上一次备份后的更新数据。全备份周期最长、次之差分备份，更新周期最短是增量备份。B 错误，我国
    灾备能力级别一共分为 6 级。D是明显的错误。

11. 某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下
    哪一类
    A.个人网银系统和用户之间的双向鉴别
    B.由可信第三方完成的用户身份鉴别
    C.个人网银系统对用户身份的单向鉴别
    D.用户对个人网银系统合法性的单向鉴别
    答案©答题解析：题干为网银系统对用户的鉴别

12. 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前
    提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造
    成的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：
    A.在软件立项时考虑到软件安全相关费用，经费中预留了安全测试、安全评审相关费
    用，确保安全经费得到落实
    B.在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架
    构设计中存在的安全不足
    C.确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保
    开发人员编写出安全的代码
    D.在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测试，
    未经以上测试的软件不允许上线运行
    答案(d)答题解析：软件的安全测试包括模糊测试和渗透测试，不包括源代码分析。

13. 某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理
    和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全哪项原则
    A.最小权限
    B.权限分离
    C.不信任
    D.纵深防御
    答案(b)答题解析：权限分离是将一个较大的权限分离为多个子权限组合操作来实现

14. 以下关于 PGP(Pretty Good Privacy)软件叙述错误的是
    A.PGP 可以实现对邮件的加密、签名和认证
    B.PGP 可以实现数据压缩
    C.PGP 可以对邮件进行分段和重组
    D.PGP 采用 SHA 算法加密邮件
    答案(d)答题解析：SHA不提供加密，SHA是摘要算法提供数据完整性校验

15. 以下哪个不是导致地址解析协议(ARP)欺骗的根源之一
    A.ARP 协议是一个无状态的协议
    B.为提高效率，ARP 信息在系统中会缓存
    C.ARP 缓存是动态的，可被改写
    D.ARP 协议是用于寻址的一个重要协议
    答案(d)答题解析：D不是导致欺骗的根源。

16. 在软件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，规定
    了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能
    A.治理，主要是管理软件开发的过程和活动
    B.构造，主要是在开发项目中确定目标并开发软件的过程与活动
    C.验证，主要是测试和验证软件的过程与活动
    D.购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
    答案(d)答题解析：SAMM模型四个部分是治理、构造、验证和部署

17. 小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾
    害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失
    二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后
    得到的年度预期损失为多少
    A.24 万
    B.0.09 万
    C.37.5 万
    D.9 万
    答案(d)答题解析：计算公式为 100 万24%（3/8）=9 万

18. 与 PDR 模型相比，P2DR 模型多了哪一个环节?（ ）
    A.防护
    B.检测
    C.反应
    D.策略
    答案(d)答题解析：PPDR 是指策略、保护、检测和反应（或响应）。PPDR 比 PDR 多策略

19. 以下关于项目的含义，理解错误的是
    A.项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供
    独特的产品、服务或成果而进行的一次性努力
    B.项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定
    C.项目资源指完成项目所需要的人、财、物等
    D.项目目标要遵守 SMART 原则，即项目的目标要求具体(Specific)、可测量（Measurable)、需相关方的一致同意(Agreeto)、现实(Realistic)、有一定的时限(Timeoriented)
    答案(b)答题解析：据项目进度不能随机确定，需要根据项目预算、特性、质量等要求进行确定

20. 下列对于信息安全保障深度防御模型的说法错误的是
    A.信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，
    因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下
    B.信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管
    理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要
    采用信息系统工程的方法来建设信息系统
    C.信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全
    保障的重要组成部分
    D.信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”
    答案(d)答题解析：正确描述是从内而外，自上而下，从端到边界的防护能力

另外还有白皮书和上面题库文档版本可找我拿，无偿！