CISP模拟试题
35. 在数据中心环境中,下列哪一种灭火系统最应该被采用? A. 干管喷淋灭火系统 B. 湿管喷淋灭火系统 C. Halon灭火系统
D. 二氧化碳气体 答案:A
36. 执行一个Smurf攻击需要下列哪些组件? A. 攻击者,受害者,放大网络
B. 攻击者,受害者,数据包碎片,放大网络 C. 攻击者,受害者,数据包碎片 D. 攻击者,受害者,带外数据
答案:A
37. 下列哪种渗透性测试对有效的评估一个组织对事件处理和响应的能力? A.目标测试 B.外部测试 C.内部测试 D.双盲测试
答案:D
38. 下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系? A. 脆弱性增加了威胁,威胁利用了风险并导致了暴露 B. 风险引起了脆弱性并导致了暴露,暴露又引起了威胁 C. 暴露允许威胁利用脆弱性,并导致了风险
D. 威胁利用脆弱性并产生影响的可能性称为风险,暴露是威胁已造成损害的实例
39. 某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任? A. 部门经理 B. 高级管理层 C. 信息资产所有者 D. 最终用户
答案:C
40. 下列哪一项最准确地描述了定量风险分析? A. 通过基于场景的分析方法来研究不同的安全威胁 B. 一种将潜在的损失以及进行严格分级的分析方法 C. 在风险分析时,将货币价值赋给信息资产 D. 一种基于主观判断的风险分析方法
答案:C
41. 为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成? A. 确保风险评估过程是公平的
B. 因为风险正是由于这些来自不同部门的人员所引起的,因此他们应该承担风险评估的职责 C. 因为不同部门的人员对本部门所面临的风险最清楚,由此进行的风险评估也最接近于实际情况 D. 风险评估团队不应该由来自不同部门的人员组成,而应该由一个来自公司外部的小型团队组成
答案:C
42. 下列哪一项准确定义了安全基线? A. 指明应该做什么和不应该做什么的规定 B. 最低水平的安全需求
6
CISP模拟试题 C. 安全措施的操作手册 D. 安全建议
答案:B
43. 组织在实施与维护信息安全的流程中,下列哪一项不属于高级管理层的职责? A. 明确的支持 B. 执行风险分析 C. 定义目标和范围
D. 职责定义与授权 答案:B
44. 实施安全程序能够加强下列所有选项,除了: A. 数据完整性 B. 安全意识教育 C. 数据准确性 D. 保护资产
答案:C
45. 下列哪一项准确地描述了标准、基线、指南和规程的定义? A. 标准是完成某项任务的详细步骤,规程是建议性的操作指导 B. 基线是强制性的规定,指南是建议性的操作指导 C. 标准是强制性的规定,规程是完成某项任务的详细步骤
D. 规程是建议性的操作指导,基线是必须具备的最低安全水平 答案:C
46. 剩余风险应该如何计算?
A. 威胁×风险×资产价值 B. (威胁×资产价值×脆弱性)×风险 C. 单次损失值×频率 D. (威胁×脆弱性×资产价值)×控制空隙
答案:D
47. 下列哪一项准确地定义了风险评估中的三个基本步骤? A.(1)识别风险;(2)评估风险;(3)消减风险。 B.(1)资产赋值;(2)风险分析;(3)防护措施。 C.(1)资产赋值;(2)识别风险;(3)评估风险。 D.(1)识别风险;(2)资产赋值;(3)消减风险。
答案:B
48. 对于在风险评估过程中发现的风险,下列哪一项不是适当的风险处置措施? A. 消减风险 B. 接受风险 C. 忽略风险 D. 转移风险
答案:C
49. 某公司正在对一台关键业务服务器进行风险评估:该服务器价值138000元,针对某个特定威胁的暴
露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。根据以上信息,该服务器的年度预期损失值(ALE)是多少? A.1800元 B.62100元
7
CISP模拟试题 C.140000元 D.6210元
答案:D
50. 下列哪一项最准确地描述了灾难恢复计划(DRP)应该包括的内容? A. 硬件,软件,人员,应急流程,恢复流程 B. 人员,硬件,备份站点 C. 硬件,软件,备份介质,人员 D. 硬件,软件,风险,应急流程
答案:A
51. 某公司在执行灾难恢复测试时,信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢,为
了找到根本原因,他应该首先检查: A. 灾难恢复站点的错误事件报告 B. 灾难恢复测试计划 C. 灾难恢复计划(DRP)
D. 主站点和灾难恢复站点的配置文件
答案:D
52. 为了达到组织灾难恢复的要求,备份时间间隔不能超过: A.服务水平目标(SLO) B.恢复时间目标 (RTO) C.恢复点目标 (RPO)
D.停用的最大可接受程度 (MAO)
答案:C
53. 某公司正在进行IT系统灾难恢复测试,下列问题中的哪个最应该引起关注:
A.由于有限的测试时间窗,仅仅测试了最必须的系统,其他系统在今年的剩余时间里陆续单独测试 B.在测试过程中,有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败 C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间
D.每年都是由相同的员工执行此测试,由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难恢复计划(DRP)文档
答案:D
54. 为了优化组织的业务持续计划(BCP),信息安全专业人员应该建议执行业务影响分析(BIA)来确定: A.能为组织产生最大财务价值,因而需要最先恢复的业务流程 B. 为保证与组织业务战略相一致,业务流程恢复的优先级和顺序 C. 在灾难中能保证组织生存而必须恢复的业务流程 D. 能够在最短的时间内恢复最多系统的业务流程恢复顺序
答案:C
55. 当一个关键文件服务器的存储增长没有被合理管理时,以下哪一项是最大的风险? A.备份时间会稳定增长 B.备份成本会快速增长 C.存储成本会快速增长
D.服务器恢复工作不能满足恢复时间目标(RTO)的要求
答案:D
56. 在CMM标准中,哪一个等级表明组织在软件开发过程中已经建立了定量的质量指标? A. 可重复级 B. 已定义级
8
CISP模拟试题 C. 已管理级 D. 优化级
答案:C
57. 在软件开发过程中,为了让程序内部接口错误能够被尽早发现,下列哪一种测试方法是最有效的? A. 自底向上测试 B. 白盒测试 C. 自顶向下测试 D. 黑盒测试
答案:C
58. 在ISO 27001-2005中,制定风险处置计划应该在PDCA的哪个阶段进行? A. Plan B. Do C. Check D. Act
答案:B
59. 在通用准则(CC)中,是按照下列哪一类评测等级对产品进行评测的? A. PP B. EPL C. EAL D. TCB
答案:C
60. 在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别? A. C2 B. C1 C. B2 D. B1
答案:D
61. 信息安全评估保障分为七级,其中描述不正确的是: A.EAL1功能测试级 B、EAL2结构测试级 C.EAL3方法测试和校验级 D.EAL4半形式化设计和测试级
答案:D
62. 对于网络风险控制模型中,描述正确的是: A.检查 分析 计划 实施 总结 B.监控 识别 分析 计划 实施 C.检查 分析 监控 预算 实施 D.监控 识别 计划 执行 总结
答案:B
63. Clark-Wilson模型可以满足所有三个完整性安全目标,哪一个是错误的: A.防止授权用户不适当的修改 B.防止非授权用户进行篡改 C.维持内部和外部的一致性 D.保障数据和程序安全
9
CISP模拟试题
答案:D
64. VPN为相关企业解决很大问题,哪一项VPN实现不了? A.节约成本 B.保证数据安全性 C.保证网络安全性 D.对VPN内数据进行加密
答案:C
65. 在国家标准中,属于强制性标准的是? A.GB/T XXXX.X-200X B.GB XXXX-200X C.DBXX/T XXX-200X D.QXXX-XXX-200X
答案:B
66. 信息安全技术体系架构能力成熟度分为五个级别,其中描述正确的是? A.能力级别1:未实施
B.能力级别2:非规范化设计、基本执行级 C.能力级别3:文档化设计、规范定义级 D.能力级别4:半形式化设计、测试验证级
答案:D
67. 以下哪个是防火墙能实现的功能? A.阻断内外网的访问 B.阻断内外网的病毒
C.记录并监控所有通过防火墙的数据 D.保护DMZ服务区的安全
答案:ACD
68. 在OSI参考模型中,主要针对远程终端访问,任务包括会话管理、传输同步以及活动管理等是以下那
一层? A.应用层 B.物理层 C.会话层 D.网络层
答案:C
69. UDP是传输层重要协议之一,哪一个描述是正确的? A.基于UDP的服务包括FTP、HTTP、TELNET等 B.基于UDP的服务包括NIS、NFS、NTP及DNS等 C.UDP的服务具有较高的安全性
D.UDP的服务是面向连接的,保障数据可靠
答案:B
70. 防火墙的发展历程,以下哪一个顺序是正确的?
A.具有安全操作系统的防火墙—基于路由器的防火墙—用户化的防火墙工具套—建立在通用操作系统上的防火墙
B.建立在通用操作系统上的防火墙—基于路由器的防火墙—用户化的防火墙工具套—具有安全操作系统的防火墙
C.基于路由器的防火墙—用户化的防火墙工具套—建立在通用操作系统上的防火墙—具有安全操作系统
10