CISP考试练习题及答案4_2023_背题版.pdfVIP

*************************************************************************************** 试题说明 本套试题共包括1套试卷 每题均显示答案和解析 CISP考试练习题及答案4(500题) *************************************************************************************** CISP考试练习题及答案4 1.[单选题]以下关于信息系统安全保障是主关和客观的结论说法准确的是 A)信息系统安全保障不仅涉及安全技术，还综合参考安全管理安全工程和人员安全等以安全保障信 息系统安全 B)通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安 全保障工作是否满足其安全保障目标的信心 C)是一种通过客观保证向信息系统评估者提供主观信心的活动 答案:B 解析: 2.[单选题]某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目 开发人员决定用户登陆时除了用户名口令认证方式外，还加入基于数字证书的身份认证功能，同时 用户口令使用SHA-1算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则 ： A)最小特权原则 B)职责分离原则 C)纵深防御原则 D)最少共享机制原则 答案:C 解析: 3.[单选题]一个组织具有的大量分支机构且分布地理区域较广。以确保各方 面的灾难恢复计划的评估，具有成本效益的方式，应建议使用： A)数据恢复测试 B)充分的业务测试 C)前后测试 D)预案测试 答案:D 解析: 4.[单选题]下面对“零日(zero-day) 漏洞”的理解中，正确的是？ A)指一个特定的漏洞，该漏洞每年 I 月 l 日零点发作，可以被攻击者用来远程攻击，获取 主机权 限 B)指一个特定的漏洞，特指在 2010 年被发现出来的一种漏洞，该漏洞被“震网”病毒所 利用来攻 击伊朗布什尔核电站基础设施 C)指一类漏洞，即特别好被利用，一旦成功利用该类漏洞，可以在 1 天内完成攻击，且成 功达到 攻击目标 D)指一类漏洞，即刚被发现后立即被恶意利用的安全口漏洞，一般来说，那些已经被小部 分人发现 ，但是还未公开、还不存在安全补丁漏洞都是零日漏洞 答案:D 解析: 5.[单选题]数据库事务日志的用途是什么？ A)事务处理 B)数据恢复 C)完整性约束 D)保密性控制 答案:B 解析: 6.[单选题]以下有关通信与日常操作描述不正确的是？ A)信息系统的变更应该是受控的 B)企业在岗位设计和人员工作分配时应该遵循职责分离的原则 C)移动介质使用是一个管理难题，应该采取有效措施，防止信息泄漏 D)所有日常操作按照最佳实践来进行操作，无需形成操作手册。 答案:C 解析: 7.[单选题]主要用于加密机制的协议是： （ ）。 A)HTTP B)FTP C)TELNET D)SSL 答案:D 解析: 8.[单选题]访问控制矩阵是自主访问控制的实现机制.以下对访问控制矩阵说法正确的是 A)一般访问控制矩阵中列表示客体，行表示主体 B)访问控制矩阵中的元素规定了相应主体对相应客体的访问权 C)访问控制矩阵按列读取形成访问能力表 D)访问控制矩阵按行读取形成访问控制表 答案:A 解析: 9.[单选题]ISO27002、ITIL和COBIT在IT管理内容上各有优势、但侧重点不同，其各自重点分别在于 ： A)IT安全控制、IT过程管理和IT控制和度量评价 B)IT过程管理、IT安全控制和IT控制和度量评价 C)IT控制和度量评价、IT安全控制和IT安全控制 D)IT过程管理、IT控制和度量评价、IT安全控制 答案:A 解析: 10.[单选题]有关定性风险评估和定量风险评估的区别，以下描述不正确的是 A)定性风险评估比较主观，而定量风险评估更客观 B)定性风险评估容易实施， 定量风险评估往往数据准确性很难保 证 C)定性风险评估更成熟，定量风险评估还停留在理论阶段 D)定性风险评估和定量风险评估没有本质区别，可以通用 答案:D