CISP考试练习题及答案4_2022_练习版.pdfVIP

*************************************************************************************** 试题说明 本套试题共包括1套试卷 答案和解析在每套试卷后 CISP考试练习题及答案4(500题) *************************************************************************************** CISP考试练习题及答案4 1.[单选题]某单位根据业务需要准备立项开发一个业务如软件,对于软件开发安全投入 经费研讨 时 ,开发部门和信息中心发生了分歧,开发部门认为开发阶段无需投入。 软件开发完成 后发现问题再 针对性的解决,比前期安全投入要成本更低,信息中 心则认为应在软件安 全开发阶段投入,后期解决 代价太大,双方争执不下,作为 信息安全专家,请选择对于图 那件开发安全投入的准确说法; A)信息中心的考虑是否正确,在软件立项投入解决软件安全问题,总体经费 投入比软件运行后的费用 要低 B)软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安 排人员 进行代码修订更 简单,因此费用更低 C)双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是 在上线 前解决问题的费 用最低 2.[单选题]以下有关访问控制的描述不正确的是 A)口令是最常见的验证身份的措施， 也是重要的信息资产， 应妥善保护 和管理 B)系统管理员在给用户分配访问权限时， 应该遵循“最小特权原 则”，即分配给员工的访问权限只需满足其工作需要的权限， 工作之外的 权限一律不能分配 C)单点登录系统（一次登录/ 验证，即可访问多个系统）最大的优势是提 升了便利性，但是又面临着“把所有鸡蛋放在一个篮子”的风险； D)双因子认证（又称强认证）就是一个系统需要两道密码才能进入； 3.[单选题]在风险管理准备阶段“建立背景”（对象建立）过程中不用设置的是： A)分析系统的体系结构 B)分析系统的安全环境 C)制定风险管理计划 D)调查系统的技术特性 4.[单选题]下列哪项内容描述的是缓冲区溢出漏洞? A)通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执 行恶意的SQL命令 B)攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是 当浏览器下载该页面，嵌入其中的脚本将被解释执行。 C)当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上 D)信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷 5.[单选题]公安部网络违法案件举报网站的网址是____。( ) A) B) C) D) 6.[单选题]要安全浏览网页，不应该（ ）。 A)定期清理浏览器缓存和上网历史记录 B)禁止使用ActiveX 控件和Java 脚本 C)定期清理浏览器Cookies D)在他人计算机上使用“自动登录”和“记住密码”功能 7.[单选题]关于业务连续性计划（BCP）以下说法最恰当的是： A)组织为避免所有业务功能因重大事件而中断，减少业务风险而建立的一个控制过程； B)组织为避免关键业务功能因重大事件而中断，减少业务风险而建立的一个控制过程； C)组织为避免所有业务功能因各种事件而中断，减少业务风险而建立的一个控制过程； D)组织为避免信息系统功能因各种事件而中断，减少信息系统而建立的一个控制过程。 8.[单选题]有关危害国家秘密安全的行为的法律责任，正确的是 A)严重违反保密规定行为只要发生，无论是否产生实际后果，都要依法追究责任 B)非法获取国家秘密，不会构成刑事犯罪，不需要承担刑事责任 C)过失泄密国家秘密，不会构成刑事犯罪，不需要承担刑事责任 D)承担了刑事责任，无需再承担行政责任 9.[单选题]下列哪一项是注册机构（RA）的职责？ A)证书发放 B)证书注销 C)提供目录服务让用户查询 D)审核申请人信息 10.[单选题]当更新一个正在运行的在线订购系统时，更新都记录在一个交易 磁带和交易日志副本。在一天业务结束后，订单文件备份在