CISP备考题库（八）

CISP即“注册信息安全专业人员”，是面向信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质证书。
更多CISP介绍：edu.51cto.com/surl=lRTE33

CISP模拟练习题8：

1. 下面关于信息系统安全保障模型的说法不正确的是
   D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入。
   答案(d)答题解析： 单位对信息系统运行维护和使用的人员在能力和培训方面需要投入。

2. 以下关于软件安全测试说法正确的是
   B.FUZZ 测试是经常采用的安全测试方法之一
   答案(b) 答题解析：FUZZ 测试是经常采用的安全测试方法之一，软件安全测试包括模糊测试（fuzz 测试）、渗透测试、静态代码安全测试。

3. 某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，正确的是
   B.应当尽早在软件开发的需求和设计阶段增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少得多。
   答案(b)答题解析：答案为B。A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL最大的特点 是增加了安全培训和应急响应。D-第三方测试是必要的软件安全测试类型。

4. 为增强 Web 应用程序的安全性，某软件开发经理决定加强 Web 软件安全开发培训，下面哪项内容不在考虑范围内
   D.关于 ARM 系统漏洞挖掘方面安全知识的培训
   答案(d) 答题解析：D属于 ARM 系统，不属于WEB安全领域。

5. 下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则
   C.《国家信息化领导小组关于加强信息安全保障工作的意见》
   答案©答题解析：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办 2003 年 27 号文件）规定了信息安全工作的原则，例如立足国情、以我为主、坚持技管并重等。

6. 对信息安全风险评估要素理解正确的是
   A.资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可
   以是业务系统，也可以是组织机构
   答案(a)答题解析：B错误，应该是抽样评估；C错误，应该其描述的是差距分析；D 错误，应该是威胁包括人为威胁和环境威胁。

7. 下面的角色对应的信息安全职责不合理的是
   B.信息安全部门主管——提供各种信息安全工作必须的资源
   答案(b) 答题解析：通常由管理层提供各种信息安全工作必须的资源。

8. 以下哪一项不属于信息安全工程监理模型的组成部分
   D.监理组织安全实施
   答案(d)答题解析：信息安全工程监理的信息安全工程监理模型由三部分组成，即咨询监理支撑要素（组织结构、设施设备、安全保障知识、质量管理）、监理咨询阶段过程和控制管理措施
   （“三控制、两管理、一协调”，即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调）

9. 在某网络机房建设项目中，在施工前，以下哪一项不属于监理需要审核的内容
   A.审核实施投资计划
   答案(a)答题解析：监理从项目招标开始到项目的验收结束，在投资计划阶段没有监理

10. 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前
    提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造
    成的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：
    D.在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测试，
    未经以上测试的软件不允许上线运行
    答案(d)答题解析：软件的安全测试包括模糊测试和渗透测试，不包括源代码分析。

11. 某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理
    和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全哪项原则
    B.权限分离
    答案(b)答题解析：权限分离是将一个较大的权限分离为多个子权限组合操作来实现

12. 关于 linux 下的用户和组，以下描述不正确的是
    C.用户和组的关系可是多对一，一个组可以有多个用户，一个用户不能属于多个组
    答案©答题解析：一个用户可以属于多个组。

13. 以下关于 PGP(Pretty Good Privacy)软件叙述错误的是
    D.PGP 采用 SHA 算法加密邮件
    答案(d)答题解析：SHA不提供加密，SHA 是摘要算法提供数据完整性校验

14. 小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少
    D.9 万
    答案(d)答题解析：计算公式为 100 万24%（3/8）=9 万

15. 下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的
    A.设置网络连接时限
    答案(a)答题解析：A 属于防护措施；BCD 属于检测措施，可以用来检测未经授权的信息处理活动。

16. 与 PDR 模型相比，P2DR 模型多了哪一个环节?（ ）
    D.策略
    答案(d)答题解析：PPDR 是指策略、保护、检测和反应（或响应）。PPDR 比 PDR 多策略

17. 2008 年 1 月 2 日，美国发布第 54 号总统令，建立国家网络安全综合计划 （Comprehensive National Cyber security Initiative，CNCI)。CNCI 计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁； 第三道防线，强化未来安全环境．从以上内容，我们可以看出以下哪种分析是正确的
    A.CNCI 是以风险为核心，三道防线首要的任务是降低其网络所面临的风险
    答案(a)答题解析：CNCI 第一个防线针对漏洞进行风险控制，第二个防线针对威胁进行风险控制，总体的目标是降低网络风险。B、C、D 答案均无法从题干反应

18. 以下关于直接附加存储(Direct Attached Storage，DAS)说法错误的是
    D.较网络附加存储(Network Attached Storage，NAS)，DAS 节省硬盘空间，数据非常集中，便于对数据进行管理和备份
    答案(d)答题解析：NAS 优点数据集中、节约空间，缺点是占用网络带宽、存储中心存在单点故障。DAS优点数据分散、风险分散，缺点是存储空间利用率低、不便于统一管理。SAN 基于 NAS 的进一步实现，基于高速网络、多备份中心来进行实现。

19. 以下对异地备份中心的理解最准确的是
    D.与生产中心面临相同区域性风险的机率很小
    答案(d)

20. 作为业务持续性计划的一部分，在进行业务影响分析(BIA)时的步骤是:1．标识关键的业务过程;2．开发恢复优先级;3．标识关键的 IT 资源;4．表示中断影响和允许的中断时间
    A.１-3-4-2
    答案(a)答题解析：根据 BCM 的分析过程顺序为 A。

另外还有白皮书和上面题库文档版本可找我拿，无偿！