CISP考试认证练习题及答案2_2022_练习版.pdfVIP

*************************************************************************************** 试题说明 本套试题共包括1套试卷 答案和解析在每套试卷后 CISP考试认证练习题及答案2(500题) *************************************************************************************** CISP考试认证练习题及答案2 1.[单选题]对信息安全风险评估要素理解正确的是： A)资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业 务系统 ，也可以是组织机构 B)应针对构成信息系统的每个资产做风险评价 C)脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距 项D.信息 系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 2.[单选题]下列哪项内容描述的是缓冲区溢出漏洞? A)通过把 SQL 命令插入到 web 表单递交或输入域名或页面请求的查询字符串，最终达到欺 骗服务 器执行恶意的 SQL 命令 B)攻击者在远程 WEB 页面的 HTML 代码中插入具有恶意目的的数据，用户认为该页面是可 信赖的 ，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。 C)当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数 据上D.信 息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的 缺陷 3.[单选题]IPv4 协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联、互 通,仅仅依靠IP头部的校验和字段来保证IP包的安全,因此IP包很容易被篡改,并重新计算校验和。 IETF于1994年开始制定IPSec协议标准,其设计目标是在IPv4和IPv6环境中为网络层流量提供灵活、 透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击 ,同时保持易用性。下列选项中说法错误的是( ) A)对于IPv4, IPSec是可选的,对于IPv6,IPSec是强制实施的。 B)IPSec协议提供对IP及其上层协议的保护。 C)IPSec是一个单独的协议 D)IPSec安全协议给出了封装安全载荷和鉴别头两种通信保护机制。 4.[单选题]当使用移动设备时,应特别注意确保( )不外泄。移动设备方针应考虑与非保护环境移动 设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时,要加以 小心。应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或泄露,如使用( )、强 制使用秘钥身份验证信息。要对移动计算设施进行物理保护,以防被偷窃,例如,特别是遗留在汽车和 其他形式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算机设施的被窃或丢失等情况 建立一个符号法律、保险和组织的其他安全要求的( )。携带重要、敏感和或关键业务信息的设备不 宜无人值守,若有可能,要以物理的方式锁起来,或使用( )来保护设备。对于使用移动计算设施的人 员要安排培训,以提高他们对这种工作方式导致的附加风险的意识,并且要实施控制措施。 A)加密技术;业务信息;特定规程;专用锁 B)业务信息;特定规程;加密技术;专用锁 C)业务信息;加密技术;特定规程;专用锁 D)业务信息;专用锁;加密技术;特定规程 5.[单选题]当组织将客户信用审查系统外包给第三方服务提供商时，下列哪一项是信息安全专业人 士最重要的考虑因素？该提供商 A)满足并超过行业安全标准 B)同意可以接受外部安全审查 C)其服务和经验有很好的市场声誉 D)符合组织的安全策略 6.[单选题]规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单位在 实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中 ，该《待评估信息系统相关设备及资产清单》应是如下() A)风险评估准备 B)风险要素识别 C)风险分析 D)风险结果判定 7.[单选题]组织内应急通知应主要采用以下哪种方式 A)电话 B)电子邮件 C)人员 D)公司O A 8.[单选题]《网络安