CISP模拟二教材.docx

4、与PDR模型相比，P2DR模型多了哪一个环节？ A．防护 B．检测 C．反应 D．策略 正确答案：D 所在章：信息安全保障 知识点：信息安全保障知识点 24、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是： A．在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实 B．在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足 C．确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码 D．在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行 正确答案：D 所在章：信息安全保障 知识点：信息安全保障知识点 25、关于我国加强信息安全保障工作的主要原则，以下说法错误的是： A．立足国情，以我为主，坚持技术与管理并重 B．正确处理安全和发展的关系，以安全保发展，在发展中求安全 C．统筹规划，突出重点，强化基础工作 D．全面提高信息安全防护能力，保护公众利益，维护国家安全 正确答案：D 所在章：信息安全保障 知识点：信息安全保障知识点 26、下面关于信息系统安全保障的说法不正确的是： A．信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关 B．信息系统安全保障要素包括信息的完整性.可用性和保密性 C．信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障 D．信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命 正确答案：B 所在章：信息安全保障 知识点：信息安全保障知识点 27、在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时，正确的理解是： A．测量单位是基本实施(BasePractices，BP) B．测量单位是通用实施(GenericPractices，GP) C．测量单位是过程区域(ProcessAreas，PA) D．测量单位是公共特征(CommonFeatures，CF) 正确答案：D 所在章：信息安全保障 知识点：信息安全保障知识点 28、下面关于信息系统安全保障模型的说法不正确的是： A．国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》(GB／T20274．1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心 B．模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化 C．信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全 D．信息系统安全保障主要是确保信息系统的保密性.完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入 正确答案：D 所在章：信息安全保障 知识点：信息安全保障知识点 29、关于信息安全保障技术框架(IATF)，以下说法不正确的是： A．分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本 B．IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施 C．允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性 D．IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制 正确答案：D 所在章：信息安全保障 知识点：信息安全保障知识点 30、关于信息安全保障的概念，下面说法错误的是： A．信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念 B．信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段 C．在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全 D．信息安全保障把信息安全从技术扩展到管理，通过技术.管理和工程等措施的综合融合，形成对信息.信息系统及业务使命的保障 正确答案：C 所在章：信息安全保障 知识点：信息安全保障知识点 73、在数据库安全性控制中，授权的数据对象_______，授权子系统就越灵活？ A．粒度越小 B．约束越细致 C．范围越大 D．约束范围大 正确答案：A 所在章：信息安全技术 知识点：信息安全技术知识点 100、下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的： A．设置网络连接时限 B．记录并分析系统错误日志 C．记录并分析用户和管理员操作日志 D．启用时钟同步正确答案：A 所在章：信息安全技术 知识点：信息安全技术知识点