终于有人把CISP题库分享出来了！考前必须背（九）

CISP即“注册信息安全专业人员”，是面向信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质证书。

CISP模拟练习题9：

1. 信息系统安全工程(ISMS)的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因素，在 IT 项目的立项阶段，以下哪一项不是必须进行的工作
   D.通过测试证明系统的功能和性能可以满足安全要求答案(d)
   答题解析：D 属于项目的验收阶段，不属于 IT 项目的立项阶段，题干属于立项阶段。

2. 以下关于软件安全测试说法正确的是
   B.FUZZ 测试是经常采用的安全测试方法之一
   答案(b)答题解析：FUZZ 测试是经常采用的安全测试方法之一，软件安全测试包括模糊测试（fuzz 测试）、渗透测试、静态代码安全测试。

3. 某网站在设计时经过了威胁建模和攻击面分析，在开发时要求程序员编写安全的代码，但是在部署时由于管理员将备份存放在 WEB 目录下导致了攻击者可直接下载备份，为了发现系统中是否存在其他类拟问题，以下那种测试方式是最佳的测试方法
   C.渗透测试
   答案© 答题解析：渗透测试是通过攻击者的角度进行软件系统测试，对系统进行安全评估的一种测试方法。

4. 以下关于 https 协议 http 协议相比的优势说明，那个是正确的
   A.Https 协议对传输的数据进行加密，可以避免嗅探等攻击行为
   答案(a)答题解析：HTTPS 具有数据加密机制

5. 某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是
   C.指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题
   答案©答题解析：指纹识别系统存在安全威胁问题，同时存在着错误拒绝率和错误接受率的问题。

6. 微软 SDL 将软件开发生命周期制分为七个阶段，并列出了十七项重要的安全活动。其中“弃用不安全的函数”属于（）的安全活动
   C.实施阶段
   答案©答题解析：七个阶段为培训，要求，设计，实施，验证，发布和响应，弃用不安全的函数为编码实施阶段。

7. 以下哪些是需要在信息安全策略中进行描述的
   B.信息安全工作的基本原则
   答案(b)答题解析：安全策略是宏观的原则性要求，不包括具体的架构、参数和实施手段。

8. 某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公开招标选择 M 公司为承建单位，并选择了 H 监理公司承担该项目的全程监理工作，目前，各个应用系统均已完成开发，M 公司已经提交了验收申请，监理公司需要对
   D.需求说明书
   答案(d)答题解析：ABC 其均属于项目管理文档。需求说明书、设计说明书、测试方案、测试用例等属于开发类文档。

9. 下列哪一种方法属于基于实体“所有”鉴别方法
   D.用户使用集成电路卡(如智能卡)完成身份鉴别
   答案(d)答题解析：实体所有鉴别包括身份证、IC 卡、钥匙、USB-Key 等

10. 主体 S 对客体 01 有读®权限，对客体 02 有读®、写(W)、拥有(Own)权限，该访问控制实现方法是：
    A.访问控制表(ACL)
    答案(A)答题解析：定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。)

11. 某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全哪项原则
    B.权限分离
    答案(b)答题解析：权限分离是将一个较大的权限分离为多个子权限组合操作来实现

12. 某电子商务网站在开发设计时，使用了威胁建模方法来分析电子商务网站所面临的威胁，STRIDE 是微软 SDL 中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing 是 STRIDE 中欺骗类的威胁，以下威胁中哪个可以归入此类威胁
    A.网站竞争对手可能雇佣攻击者实施 DDoS 攻击，降低网站访问速度
    答案(d)答题解析：A 属于可用性；B 保密性；C 属于完整性

13. 以下哪个不是导致地址解析协议(ARP)欺骗的根源之一
    D.ARP 协议是用于寻址的一个重要协议
    答案(d) 答题解析：D不是导致欺骗的根源。

14. 风险管理的监控与审查不包含
    D.协调内外部组织机构风险管理活动
    答案(d)答题解析：D 答案属于沟通咨询工作，ABC 属于风险管理的监控审查工作。风险管理过程包括背 景建立、风险评估、风险处理、批准监督，以及沟通咨询和监控审查。

15. 与 PDR 模型相比，P2DR 模型多了哪一个环节?（ ）
    D.策略
    答案(d) 答题解析：PPDR 是指策略、保护、检测和反应（或响应）。PPDR 比 PDR 多策略

16. 进入 21 世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是（ ）
    B.美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担
    答案(b)答题解析：美国已经设立中央政府级的专门机构。

17. 2008 年 1 月 2 日，美国发布第 54 号总统令，建立国家网络安全综合计划 （Comprehensive National Cyber security Initiative，CNCI)。CNCI 计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境．从以上内容，我们可以看出以下哪种分析是正确的
    A.CNCI 是以风险为核心，三道防线首要的任务是降低其网络所面临的风险
    答案(a)答题解析：CNCI 第一个防线针对漏洞进行风险控制，第二个防线针对威胁进行风险控制，总体的目标是降低网络风险。B、C、D 答案均无法从题干反应

18. 以下关于直接附加存储(Direct Attached Storage，DAS)说法错误的是
    D.较网络附加存储(Network Attached Storage，NAS)，DAS 节省硬盘空间，数据非常集中，便于对数据进行管理和备份
    答案(d)答题解析：NAS 优点数据集中、节约空间，缺点是占用网络带宽、存储中心存在单点故障。DAS优点数据分散、风险分散，缺点是存储空间利用率低、不便于统一管理。SAN 基于
    NAS 的进一步实现，基于高速网络、多备份中心来进行实现。

19. 以下对异地备份中心的理解最准确的是
    D.与生产中心面临相同区域性风险的机率很小
    答案(d)

20. 作为业务持续性计划的一部分，在进行业务影响分析(BIA)时的步骤是:1．标识关键的业务过程;2．开发恢复优先级;3．标识关键的 IT 资源;4．表示中断影响和允许的中断时间
    A.１-3-4-2
    答案(a)答题解析：根据 BCM 的分析过程顺序为 A。

另外还有白皮书和上面题库文档版本可提供，无偿！