CISP考试认证(习题卷12).pdfVIP

试卷科目：考试 CISP考试认证(习题卷12) 第1部分：单项选择题，共250题，每题只有一个正确答案,多选或少选均不得分。 1.[单选题]50. 2005年,RFC4301 （Request for Comments 4301:Security Architecture for the Internet Protocol）发布，用以取代原先的 RFC2401，该标准建议规定了 IPsec 系统基础架构，描述如何在 IP 层 （IPv4/IPv6）位流量提供安全业务。请问此类 RFC 系列标准建议是由下面哪个组织发布的（）。 A)国际标准化组织（International Organization for Standardization，ISO） B)国际电工 委员会（InternationalElectrotechnicalCommission，IEC） C)国际电信联盟远程通信标 准化组织（ITU Telecommunication Standardization Secctor，ITU-T） D)Internet工程任务组（Internet Engineering Task Force，IETF） 答案:D 解析: 2.[单选题]某电子商务网战在开发设计时，使用了威胁建模方法来分析电子商务网站所面临的威胁，STRIDE是微软 SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威 胁，以下威胁中哪个可以归入此类威胁（） A)网站竟争对手可能雇佣攻击者实施DDOS攻击，降低网站访问速度 B)网站使用HTTP协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄漏，例如购买的商品金额等 C)网站使用HTTP协议进行浏览等操作，无法确认数据与用户发出的是否一致辞，可能数据被中途篡改 D)网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用 户订单等信息 答案:D 解析: 3.[单选题]ISO27002（Information technology-Security techniques0Codeofpratice for inforeation security managcacnt）是重要的信息安全管理标准之一，下图是关于其演进变化示意图，图中括号空白处应填写 A)BS 7799.1.3 B)ISO 17799 C)AS/NZS 4630 D)NIST SP 800-37 答案:B 解析: 4.[单选题]信息安全分割线评估方式包括（） A)定量评估、定性评估、组合评估 B)定量评估、定性评估、组合评估 C)条件评估、完整评估、组合评估 D)自评估、检查评估 答案:D 解析: 5.[单选题]某计算机机房由于人员疏忽或设备老化可能会有发生火灾的风险。该计算机机房的资产价值为 200 万元; 如果发生火灾,资产总值将损失至资产值的 25%;这种火灾发生的可能性为 25 年发生一次。则这种威胁的 年度损失预 期值为(). A)10,000 元 B)15,000 元 C)20,000 元 考试题卷12 1/4 试卷科目：考试 D)25,000 元 答案:C 解析: 6.[单选题]软件工程方法起源于软件危机，其目的应该是最终解决软件的是（ ）问题？ A)质量保证 B)生产危机 C)生产工程化 D)开发效率 答案:C 解析: 7.[单选题]小王是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位。一次 面试中，某公司的技术经理让小王读一读信息安全风险管理中的“背景建立”的基本概念与认识。小明的主要观点包括 ：（1）背景建立的目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风险 管理项目的规划和准备；（2）背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果 ；（3）背景建立包括：风险管理准备、信息系统调查、信息系统分析和信息安全分析；（4）背景建立的阶段性成果包 括：风险管理计划书、信息