发布时间 : 星期一 文章CISP试题及答案-五套题更新完毕开始阅读115b4600b4daa58da0114aa2
28. WAPI采用的是什么加密算法?
A. 我国自主研发的公开密钥体制的椭圆曲线密码算法 B. 国际上通行的商用加密标准
C. 国家密码管理委员会办公室批准的流加密标准 D. 国际通行的哈希算法
29. 以下哪种无线加密标准的安全性最弱? A. wep B. wpa C. wpa2 D. wapi
30. 以下哪个不是防火墙具备的功能?
A. 防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合
B. 它是不同网络(安全域)之间的唯一出入口
C. 能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流 D. 防止来源于内部的威胁和攻击
31. 桥接或透明模式是目前比较流行的防火墙部署方式,这种方式的优点不包括: A. 不需要对原有的网络配置进行修改 B. 性能比较高
C. 防火墙本身不容易受到攻击 D. 易于在防火墙上实现NAT
32. 有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件,这种机制称作: A. 异常检测 B. 特征检测 C. 差距分析 D. 对比分析
33. 在Unix系统中,/etc/service文件记录了什么内容? A. 记录一些常用的接口及其所提供的服务的对应关系 B. 决定inetd启动网络服务时,启动哪些服务
C. 定义了系统缺省运行级别,系统进入新运行级别需要做什么 D. 包含了系统的一些启动脚本
34. 以下哪个对windows系统日志的描述是错误的?
A. windows系统默认有三个日志,系统日志、应用程序日志、安全日志
B. 系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障
C. 应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的
信息
D. 安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等 35. 在关系型数据库系统中通过“视图(view)”技术,可以实现以下哪一种安全原则? A. 纵深防御原则 B. 最小权限原则 C. 职责分离原则
D. 安全性与便利性平衡原则
36. 数据库事务日志的用途是什么? A. 事务处理 B. 数据恢复 C. 完整性约束 D. 保密性控制
37. 下面对于cookie的说法错误的是:
A. cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息 B. cookie可以存储一些敏感的用户信息,从而造成一定的安全风险
C. 通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做 cookie欺骗
D. 防范cookie欺骗的一个有效方法是不使用cookie验证方法,而使用session验证方法
38. 攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞? A. 缓冲区溢出 B. SQL注入 C. 设计错误 D. 跨站脚本
39. 通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在? A. 明文形式存在
B. 服务器加密后的密文形式存在 C. hash运算后的消息摘要值存在 D. 用户自己加密后的密文形式存在
40.下列属于DDOS攻击的是: A. Men-in-Middle攻击 B. SYN洪水攻击 C. TCP连接攻击 D. SQL注入攻击
41.如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击? A. 重放攻击 B. Smurf攻击 C. 字典攻击
D. 中间人攻击
42. 渗透性测试的第一步是: A. 信息收集
B. 漏洞分析与目标选定 C. 拒绝服务攻击 D. 尝试漏洞利用
43. 通过网页上的钓鱼攻击来获取密码的方式,实质上是一种: A. 社会工程学攻击 B. 密码分析学 C. 旁路攻击
D. 暴力破解攻击
44.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法? A. 加强软件的安全需求分析,准确定义安全需求 B. 设计符合安全准则的功能、安全功能与安全策略 C. 规范开发的代码,符合安全编码规范
D. 编制详细软件安全使用手册,帮助设置良好的安全使用习惯
45.根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中____确立安全解决方案的置信度并且把这样的置信度传递给客户。 A. 保证过程 B. 风险过程
C. 工程和保证过程 D. 安全工程过程
46.下列哪项不是SSE-CMM模型中工程过程的过程区? A. 明确安全需求 B. 评估影响 C. 提供安全输入 D. 协调安全
47. SSE-CMM工程过程区域中的风险过程包含哪些过程区域? A. 评估威胁、评估脆弱性、评估影响 B. 评估威胁、评估脆弱性、评估安全风险
C. 评估威胁、评估脆弱性、评估影响、评估安全风险 D. 评估威胁、评估脆弱性、评估影响、验证和证实安全
48.在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标: A. 防止出现数据范围以外的值 B. 防止出现错误的数据处理顺序 C. 防止缓冲区溢出攻击
D. 防止代码注入攻击
49.信息安全工程监理工程师不需要做的工作是: A.编写验收测试方案 B.审核验收测试方案 C.监督验收测试过程 D.审核验收测试报告
50. 下面哪一项是监理单位在招标阶段质量控制的内容? A. 协助建设单位提出工程需求,确定工程的整体质量目标
B. 根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需求部分 C. 进行风险评估和需求分析完成招标文件中的技术需求部分
D. 对标书应答的技术部分进行审核,修改其中不满足安全需求的内容 52. 信息安全保障强调安全是动态的安全,意味着: A. 信息安全是一个不确定性的概念 B. 信息安全是一个主观的概念
C. 信息安全必须覆盖信息系统整个生命周期,随着安全风险的变化有针对性的进行调整 D. 信息安全只能是保证信息系统在有限物理范围内的安全,无法保证整个信息系统的安全 53.关于信息保障技术框架(IATF),下列说法错误的是:
A. IATF强调深度防御,关注本地计算环境,区域边界,网络和基础设施,支撑性基础设施等多个领域的安全保障;
B.IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作 C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全
D. IATF强调的是以安全监测、漏洞监测和自适用填充“安全间隙”为循环来提高网络安全 54.下面哪一项表示了信息不被非法篡改的属性? A. 可生存性 B. 完整性 C.准确性
D.参考完整性
55. 以下关于信息系统安全保障是主观和客观的结合说法最准确的是: A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理,安全工程和人员安全等,以全面保障信息系统安全
B.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。
C. 是一种通过客观证据向信息系统评估者提供主观信心的活动 D. 是主观和客观综合评估的结果
56 公钥密码算法和对称密码算法相比,在应用上的优势是: A. 密钥长度更长 B. 加密速度更快 C. 安全性更高
D. 密钥管理更方便
57. 以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换? A. DSS
B. Diffse-Hellman