在当今数字化时代,信息安全的重要性不言而喻。为了帮助有志于成为网络安全专家的你,我们精心挑选了20道CISP模拟题。这些题目不仅覆盖了广泛的安全知识领域,还模拟了真实考试的难度和风格。通过这些练习,你将能够检验自己的理论知识和实践技能,为即将到来的CISP认证考试做好充分的准备。
CISP模拟练习题1:
1.关于信息安全保障技术框架(IATF),以下说法不正确的是
A.分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成
本
B.IATF 从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一
层也无法破坏整个信息基础设施
C.允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性
D.IATF 深度防御战略要求在网络体系结构各个可能位置实现所有信息安全保障机制
答案(d)答题解析:IATF 是在网络的关键位置实现所需的安全机制
3.下面哪项属于软件开发安全方面的问题
A.软件部署时所需选用服务性能不高,导致软件执行效率低。
B.应用软件来考虑多线程技术,在对用户服务时按序排队提供服务C.应用软件存在 SQL 注入漏洞,若被黑客利用能窃取数据库所用数据
D.软件受许可证(license)限制,不能在多台电脑上安装。
答案(c) 答题解析:ABD 与软件安全开发无关。
5.由于频繁出现计算机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强
软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是
A.要求所有的开发人员参加软件安全开发知识培训
B.要求增加软件源代码审核环节,加强对软件代码的安全性审查
C.要求统一采用 Windows8 系统进行开发,不能采用之前的 Windows 版本
D.要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题
答案(c)答题解析:统一采用 Windows8 系统对软件安全无帮助。
6.对信息安全风险评估要素理解正确的是
A.资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可
以是业务系统,也可以是组织机构
B.应针对构成信息系统的每个资产做风险评价
C.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的
差距项D.信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
答案(a)答题解析:B错误,应该是抽样评估;C错误,应该其描述的是差距分析;D 错误,应该是威胁包括人为威胁和环境威胁。
8.在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际
生产系统中的数据,如果需要使用时,以下哪一项不是必须做的
A.测试系统应使用不低于生产系统的访问控制措施
B.为测试系统中的数据部署完善的备份与恢复措施
C.在测试完成后立即清除测试系统中的所有敏感数据
D.部署审计措施,记录生产数据的拷贝和使用
答案(b)答题解析:A、C、D 为测试系统必须要执行的,B 用于测试的包含个人隐私和其它敏感信息的实际生产系统中的数据不具备备份和恢复的价值。
9.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公
开招标选择 M 公司为承建单位,并选择了 H 监理公司承担该项目的全程监理工作,目
前,各个应用系统均已完成开发,M 公司已经提交了验收申请,监理公司需要对 A 公
司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档A.项目计划书
B.质量控制计划
C.评审报告
D.需求说明书
答案(d)答题解析:ABC 其均属于项目管理文档。需求说明书、设计说明书、测试方案、测试用例等属于开发类文档。
10.某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下
哪一类
A.个人网银系统和用户之间的双向鉴别
B.由可信第三方完成的用户身份鉴别
C.个人网银系统对用户身份的单向鉴别
D.用户对个人网银系统合法性的单向鉴别
答案(c)答题解析:题干为网银系统对用户的鉴别
12.以下场景描述了基于角色的访问控制模型(Role-based Access Control.RBAC):
根据组织的业务要求或管理要求,在业务系统中设置若干岗位、职位或分工,管理员
负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC 模型,
下列说法错误的是
A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,
访问请求将被拒绝
B.业务系统中的岗位、职位或者分工,可对应 RBAC 模型中的角色
C.通过角色,可实现对信息资源访问的控制
D.RBAC 模型不能实现多级安全中的访问控制
答案(d)答题解析:RBAC 模型能实现多级安全中的访问控制
13.以下关于 PGP(Pretty Good Privacy)软件叙述错误的是
A.PGP 可以实现对邮件的加密、签名和认证
B.PGP 可以实现数据压缩
C.PGP 可以对邮件进行分段和重组
D.PGP 采用 SHA 算法加密邮件
答案(d) 答题解析:SHA不提供加密,SHA是摘要算法提供数据完整性校验
14.某公司系统管理员最近正在部署一台 Web 服务器,使用的操作系统是 windows,
在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其
中能有效应对攻击者获得系统权限后对日志进行修改的策略是
A.网络中单独部署 syslog 服务器,将 Web 服务器的日志自动发送并存储到该 syslog
日志服务器中
B.严格设置 Web 日志权限,只有系统权限才能进行读和写等操作
C.对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等
D.使用独立的分区用于存储日志,并且保留足够大的日志空间
答案(a)答题解析:在多重备份存储情况下,可以防护日志被篡改的攻击(前提非实时同步)。
16.小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾
害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失
二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后
得到的年度预期损失为多少
A.24 万
B.0.09 万
C.37.5 万
D.9 万
答案(d)答题解析:计算公式为 100 万*24%*(3/8)=9 万
18.以下哪一项是数据完整性得到保护的例子( )
A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完
成操作
B.在提款过程中 ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了冲
正操作(冲正交易,是对一笔交易的反向操作,是指我们在进行转账、取现、交易时,
没有操作成功,但却被扣了钱,银行所采取的一种补救手段。)
C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了
什么操作
D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间
谍无法查看
答案(b) 答题解析:本题中 A 为可用性,B 为完整性,C 是抗抵赖,D 是保密性。冲正是完整性纠正措施,是 Clark-Wilson 模型的应用,解决数据变化过程的完整性。
19.与 PDR 模型相比,P2DR 模型多了哪一个环节?( )
A.防护
B.检测
C.反应
D.策略
答案(d)答题解析:PPDR 是指策略、保护、检测和反应(或响应)。PPDR 比 PDR 多策略
更多模拟题库,点击查看🔗