国家注册信息安全专业人员CISP考前模拟练习题库（浓缩300题）.docx

国家注册信息安全专业人员CISP考前模拟练习题库（浓缩300题）一'单选题1 .某单位系统管理员对组织内核心资源的访问制定访问策略.针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于以下哪一种：A、强制访问控制B、基于角色的访问控制C、自主访问控制D.基于任务的访问控制答案：C2 .以下关于信息安全工程说法正确的是Ax信息化建设中系统功能的实现是最束要的B、信息化建设可以先实施系统.而后对系统进行安全加固C、信息化建设中在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设D、信息化建设没有必要涉及信息安全建设答案：C3 .。第二十三条规定存储、处理国家秘密的就计算机信息系统（以下简称泄密信息系统）按照O实行分级保护，O应当按照国家保密标准配备保密设施、设备,O、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。涉密信息系统应当按照规定.经O后,方可投入使用。A4保密法：涉密程度:涉密信息系统;保密设施;检查合格Bv国家保密法涉密程度:涉密系统:保密设施;检查合格C4网络保密法；涉密系统:查合格D4安全保密法：涉密信息系施:检查合格答案：A4 .某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的FTP服务存在高风险漏洞。随后该单位在风险处理时选择了关闭FTP服务的处理措施，请问该措施属于哪种风险处理方式OA、风险降低Bv风险规避C4风险转移Dv风险接受答案：B5 .随着金融电子化的发展.全球金融通信网络已出具规模“某金融单位组建的计算机通信网络覆盖全国,有力的促进了该企业各种金旗业务的发展。然而网络技术的普及,网络规模规模的延伸.开始逐步让该企业对网络安全提出了更高的要求。为了进一步促进金融电子化的建设.保障金融网络安全运行,该企业经过前期充分的调研分析与论证,实施了昉火墙/VPN系统建设项目.防火墙不能实现的安全功能是O。A、对出入网络的访问行为进行管理和控制D、RTO不可以为O,RPO也不可以为答案：A99.关于信息安全事件管理和应急响应，以下说法错误的是：A,应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备.以及在事件发生后所采取的措施B4应急响应方法.将应急响应管理过程分为遏制、根除,处置、恢豆、报告和跟踪6个阶段C4对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素D4根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别:特别重大事件。级）'重大事件（II级）、较大事件（I1.I级）和一般事件（IV级）答案:B100在国家标准信息系统安全保障评估框架第部分:简介和一般模型（GB/T20274.1-2006）中描述了信息系统安全保障模型,下面对这个模型理解错误的是OA4该模型强调保护信息系统所创建'传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏，从而达到实现组织机构使命的目的B、该模型是一个强调持续发展的动态安全模型即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程C、该模型强调综合保静的观念.即信息系统的安全保障是通过综合技术'管理、工程和人员的安全保障来实施和实现信息系统的安全保障目标B、完整性C4可用性D4不可抵赖性答案：C108访问控制的实施一般包括两个步骤:首先要鉴别主体的合法身份.根据当前系统的访问控制规则授予用户相应的访问权限.在此过涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中，标有数字的方框代表了主体、客体,访问控制实施部件和访问控制决策部件,下列选项中,标有数字1、2、3、4的方框分别对应的实体或部件正确的是()A4主体'访问控别决策、客体'访问控制实施B、主体'访问控制实施,客体、访问控制决策C4客体'访问控制决策、主体'访问控制实施D4客体'访问控制实施、主体'访问控制决策答案：B109.某集团公司的计算机网络中心内具有公司最重要的设备和信息数据。网络曾在一段时间内依然遭受了几次不小的破坏和干扰，虽然有防火墙,但系统管理人答案：c112 .CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性？A、结构的开放性.即功能和保证要求都可以在具体的“保户轮廊”和“安全目标”中进一步细化和扩展B、表达方式的通用性.即给出通用的表达表示C、独立性,它强调讲安全的功能和保证分离D4实用性.将CC的安全性要求具体应用到IT产品的开发、生产'测试和评估过程中答案：C113 .若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求,其信息安全控制措施通常需要在人力资源安全方面实施常规控制.人力资源安全划分为3个控制阶段,不包括哪一项OA、任用之前B4任用中C、任用终止或变化Dv任用后答案：D114对于关键信息基础设施的外延范围，以下哪项是正确的OA、关键信息基础设施的认定由国家网信部门确定.网络运营者自身及上级主管部门不能认定界控制策略，以实现大规模电子商务系统的信息保护。小王对信息系统安全域（保护对象的划分不需要考虑的是OA、业务系统逻辑和应用关联性.业务系统是否需要对外连接Bv安全要求的相似性.可用性、保密性和完整性的要求是否类似（C、现有网络结构的状况,包括现有网路、地域和机房等D4数据库的安全维护答案：D219 .在Windos7中,通过控制面板（管理工具本地安全策略安全设置一一账户策略）可以进入操作系统的密码策略设置界面,下面哪项内容不能在该界面进行设置0A、密码必须符合复杂性要求B4密码长度最小值C4强制密码历史Dv账号锁定时间答案：D220 .在国家标准.CB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型中,信息系统安全保障模型包含哪几个方面？A4保障要素'生命周期和运行维护B、保障要素'生命周期和安全特征C4规划组织'生命周期和安全特征D、规划组织'生命周期和运行维护答案：B答案：A285.在国家标准GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型中.信息系统安全保障模型包含哪几个方面？A、保障要素'生命周期和运行维护B、保障要素'生命周期和安全特征Cs规划组织'生命周期和安全特征。、规划组织,生命周期和运行维护答案：B286为达到预期的攻击目的,恶意代码通常会被采用各种方法将自己隐藏起来。关于隐藏方法.下面理解错误的是0A、隐藏恶意代码进程.即将恶意代码进程隐藏起来,或者改名和使用系统进程名，以更好的躲避检测.迷惑用户和安全检测人员B、隐藏恶意代码的网络行为,复用通用的网络端口，以股避网络行为检测和网络监控C、隐藏恶意代码的源代码,删除或加密源代码,仅留下加密后的二进制代码，以躲避用户和安全检测人员D4隐藏恶意代码的文件,通过隐藏文件、采用流文件技术或HOOK技术、以躲避系统文件检查和消除答案：C287.美国的关键信息基础设施(CritiCa1.1.nfOrmatiOn1.nfraStrUCture,C1.1.)包括商用核设施、政府设施'交通系统、饮用水和废水处理系统'公共健康和医疗'A、安全保障工作:客观证据:信息系统:生命周期:动态持续;B、客观证据；安全保障工作;信息系统:生命周期:动态持续;C、客观证据;安全保障工作;生命周期;信息系统:动态持续；O、客观证据:安全保障工作:动态持续:信息系统:生命周期;答案：B289.在使用系统安全工程-能力成熟模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测置时,有关测量结果,错误的理解是：OA,如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时,则这个蛆织在这个过程区域的能力成熟度未达到此级Bs如果该组织某个过程区域(ProCeSSArea,.PA)具备了定义标准过程”、“执行已定义的过程两个公共特征,则此过程区域的能力成熟度级别达到3级充分定义级C、如果某个过程区域(ProcessAreaPA)包含4个基本实施(BaseParctices.BP)执行此PA时执行了3个BP.则此过程区域能力成熟度级别为0D、组织在不同的过程区域的能力成熟可能处于不同的级别上答案:B290若一个组织声称自己的ISMS符合ISO/IEC27001或G8/T22080标准要求,其信息安全控制措施通常在以下方面实施常规控制.不包括哪一项0A.信息安全方针'信息安全组织'资产管理Bv人力资源安全'物力和环境安全'通信和操作管理C4访问控制、信息系统获取、开发和维护、符合性D4规划与建立ISMS答案：D291.以下关于项目的含义.理解错误的是：A4项目是为达到特定的目的,使用一定费源、在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力.B、项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定。C、项目资源指完成项目所需要的人'财'物等，D»项目目标要遵守SMART原则.即项目的目标要求具体(Specific)可测量(MeasurabIe)需相关方的一致同意(Agreeto).现实(ReaIiStiC)有一定的时限(Time-orient)答案：B292,为了进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展.公安部等四部门联合发布关于信息安全等级保护工作的实施意见(公通字200466号),对等级保护工作的开展提供宏观指导和约束，明确了等级保护工作的基本内容、工作要求和实施计划.以及各部门工作职责分工等。关于该文件,下面理解正确的是0A4该文件是一个由部委发布的政策性文件,不属于法律文件B4该文件适用于2004年的等级保护工作。其内容不能约束到2005年及之后的工作C、该文件是一个总体性指导文件,规定了所有信息系统都要纳入等级保护定级范围D、该文件适用范围为发文的这四个部门.不适用于其他部门和企业等单位答案：A293 .某单位计划在今年开发一套办公自化(OA)系统,将集团公司各地的机构通过互联网进行协同办公.在OA系统的设计方案评审会上.提出了不少安全开发的建议,作为安全专家.请指出大家提供的建议中不太合适的一条?A、对软件开发商提出安全相关要求.确保软件开发商对安全足够的重视,投入资源解决软件安全问期B、要求软件开发人员进行安全开发培训,是开发人员掌握基本软件安全开发知识C、要求软件开发商使用JaVa而不是ASP作为开发语言,避免产生SQ1.注入漏洞D、要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式.并在使用前对输入数据进行校验答案：C294 .某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以下拟采取的安全措施中.哪一项不能降低该系统的受攻击面：A4远程用户访问需进行身份管B4远程用户访问时具有管理员权限C4关闭服务器端不必要的系统服务O4当用户访问其账户信息时使用严格的身份认证机制答案：B295 .小李是某公司的系统规划师,某天他针对公司信息系统的现状,绘制了一张系统安全建设规划图,如下图所示,请问这个图形是依据下面哪个模型来绘制的。A4PDRB4PPORCPDCADvIATF答案:B296信息安全风险评估是信息安全风险管理工作中的重要环节。在关于