发布时间 : 星期一 文章CISP试题及答案-六套题更新完毕开始阅读
55、下列那种技术不是恶意代码的生存技术? A、反跟踪技术 B、加密技术 C、模糊变换技术 D、自动解压缩技术 56B57B58D59D60D
56、以下对于蠕虫病毒的说法错误的是: A、通常蠕虫的传播无需用户的操作
B、蠕虫病毒的主要危害体现在对数据保密性的破坏 C、蠕虫的工作原理与病毒相似,除了没有感染文件阶段
D、是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序
57、被以下哪种病毒感染后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响的,DNS和IIS服务遭到非法拒绝等。 A、高波变种3T B、冲击波 C、震荡波
D、尼姆达病毒
58、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时,就会产生哪种类型的漏洞? A、缓冲区溢出 B、设计错误 C、信息泄露 D、代码注入
59、下面对漏洞出现在软件开发的各个阶段的说法中错误的是? A、漏洞可以在设计阶段产生 B、漏洞可以在实现过程中产生 C、漏洞可以在运行过程中产生 D、漏洞可以在验收过程中产生
60、DNS欺骗是发生在TCP/IP协议中______层的问题 A、网络接口层 B、互联网网络层 C、传输层 D、应用层
61B62D63A64B65C
61、IP欺骗(IP Spoof)是发生在TCP/IP协议中______层的问题 A、网络接口层 B、互联网网络层 C、传输层 D、应用层
62、分片攻击问题发生在: A、数据包被发送时 B、数据包在传输过程中 C、数据包被接收时
D、数据包中的数据进行重组时
63、下面关于软件测试的说法错误的是:
A、所谓“黑盒”测试就是测试过程不测试报告中进行描述,且对外严格保密 B、出于安全考虑,在测试过程中尽量不要使用真实的生产数据
C、测试方案和测试结果应当成为软件开发项目文档的主要部分被妥善的保存
D、软件测试不仅应关注需要的功能是否可以被实现,还要注意是否有不需要的功能被实现了
64、传统软件开发方法无法有效解决软件安全缺陷问题的原因是:
A、传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护五个阶段
B、传统的软件开发方法,注重软件功能实现和保证,缺乏对安全问题进行处理的任务、里程碑与方法论,也缺乏定义对安全问题的控制与检查环节
C、传统的软件开发方法,将软件安全定义为编码安全,力图通过规范编码解决安全问题,缺乏全面性
D、传统的软件开发方法仅从流程上规范软件开发过程,缺乏对人员的培训要求,开发人员是软件安全缺陷产生的根源
65、对攻击面(Attack surface)的正确定义是:
A、一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低 B、对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大 C、一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大
D、一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大
66D67D68B69A70D
66、下面对PDCA模型的解释不正确的是:
A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B、是一种可以应用于信息安全管理活动持续改进的有效实践方法 C、也被称为“戴明环”
D、适用于对组织整体活动的优化,不适合单个的过程以及个人
67、下面关于ISO27002的说法错误的是: A、ISO27002的前身是ISO17799-1
B、ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部 C、ISO27002对于每个控制措施的表述分“控制措施”,“实施指南”和“其他信息”三个部分来进行描述
D、ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类
安全措施
68、下述选项中对于“风险管理”的描述不正确的是:
A、风险管理员是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通
B、风险管理的目的是了解风险并采取措施处置风险并将风险消除
C、风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中
D、在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。
69、在信息安全领域,风险的四要素是指?
A、资产及其价值、威胁、脆弱性、现有的和计划的控制措施
B、资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 C、完整性、可用性、机密性、不可抵赖性
D、减低风险、转嫁风险、规避风险、接受风险
70、在信息安全风险管理体系中分哪五个层面? A、决策层、管理层、执行层、支持层、用户层 B、决策层、管理层、建设层、维护层、用户层 C、管理层、建设层、运行层、支持层、用户层 D、决策层、管理层、执行层、监控层、用户层 71C72C73B74D75B
71、在风险管理工作中“监控审查”的目的,一是_________;二是_________. A、保证风险管理过程的有效性,保证风险管理成本的有效性 B、保证风险管理结果的有效性,保证风险管理成本的有效性
C、保证风险管理过程的有效性,保证风险管理活动的决定得到认可 D、保证风险管理结果的有效性,保证风险管理活动的决定得到认可
72、下列安全控制措施的分类中,哪个分类是正确的(p-预防性的,D-检测性的以及C-纠正性的控制) 1、网络防火墙 2、编辑和确认程序 3、账户应付支出报告 4、账户应付对账 5、RAID级别3
6、银行账单的监督复审 7、分配计算机用户标识 8、交易日志
A、P,P,D,P,P,C,D,andC B、D,P,P,P,C,C,D, andD C、P,P,D,D,C,D,P, andC D、P,D,C,C,D,P,P, andD
73、信息安全风险评估分为自评估和检查评估两种形式,下列描述不正确的是: A、信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充 B、检查评估可在自评估实施的基础上,对关键环节或重点内容实施抽样评估
C、检查评估也可委托风险评估服务技术支持方实施,但评估结果仅对检查评估的发起单位负责
D、检查评估是指信息系统上级管理部门组织有关职能部门开展的风险评估
74、某公司正在对一台关键业务服务器进行风险评估,该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。根据以上信息,该服务器的年度预期损失值(ALE)是多少? A、1800元 B、62100元 C、140000元 D、6210元
75、下列哪些内容应包含在信息系统战略计划中? A、已规划的硬件采购的规范 B、将来业务目标的分析 C、开发项目的目标日期
D、信息系统不同的年度预算目标
76D77C78B79B80A
76、以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解? A、外来人员在进行系统维护时没有收到足够的监控 B、一个人拥有了不是其完成工作所必要的权限 C、敏感岗位和重要操作长期有一个人独自负责
D、员工由一个岗位变动到另一个岗位,累计越来越多的权限
77、ISO27002中描述的11个信息安全管理控制领域不包括: A、信息安全组织 B、资产管理 C、内容安全
D、人力资源安全
78、依据国家标准《信息安全技术信息系统灾难恢复规范》(GB/T20988),需要备用场地但不要求部署备用数据处理设备的是灾难恢复等级的第几级? A、2 B、3 C、4 D、5
79、以下哪一种备份方式再恢复时间上最快? A、增量备份 B、差异备份