CISP考试认证(习题卷9).pdfVIP

试卷科目：考试 CISP考试认证(习题卷9) 说明：答案和解析在试卷最后 第1部分：单项选择题，共250题，每题只有一个正确答案,多选或少选均不得分。 1.[单选题]下列哪项不是安全管理方面的标准？ A)ISO 27001 B)ISO 13335 C)GB/T 22080 D)GB/T 18336 2.[单选题]68. 关于信息安全保障技术框架（Information Assurance Tehnical Framework,IATF），下 面描述错误的 是（） A)IATF 最初由美国国家安全局（NSA）发布，后来由国际标准化组织（ISO）转化为国际标准，供各个国家信息系统建 设参考使用 B)IATF 是一个通用框架，可以用到多种应用场景中，通过对复杂信息系统进行解构和描述，然后再以此框架讨论信息 系统的安全保护问题 C)IATF 提出了深度防御的战略思想，并提供一个框架进行多层保护，以此防范信息系统面临的各种威胁 D)强调人、技术和操作是深度防御的三个主要层面，也就是说讨论人在技术支持下运行维护的信息安全保障问题 3.[单选题]攻击者可以使用 ping, 或某一个系统命令获得目标网络的信息,攻击者利用此命令,能收集到目标之间经过 的路由设备 IP 地址,选择其中存在安全防护相对薄弱的路由设备实施攻击,或者控制路由设备, 对目标网络实现嗅探等 其他攻击。 这个命令为 A)ipconfig B)ipconfig all C)show D)tracert 4.[单选题]信息安全管理体系(Information Security Management System ,ISMS)的内部审核和管理审核是两项重要的 管理活动,关于这两者,下面描述的错误是 A)内部审核和管理评审都很重要,都是促进ISMS持续改进的重要动力,也都应当按照一定的周期实施 B)内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议形式进行 C)内部审核的实施主体组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构 D)组织的信息安全方针、信息安全目标和有关ISMS文件等,在内部审核中作为审核标准使用,但在管理评审总,这些文件 时被审对象 5.[单选题]渗透测试作为网络安全评估的一部分 A)提供保证所有弱点都被发现 B)在不需要警告所有组织的管理层的情况下执行 C)找到存在的能够获得未授权访问的漏洞 D)在网络边界上执行不会破坏信息资产 6.[单选题]74. /etc/passwd 文件是 UNIX/Linux 安全的关键文件之一。该文件用于用户登录时校验 用户的登录名、 加密的口令数据项、用户ID（UID）、默认的用户分组 ID（GID）、用户信息、用户登录目录以及登录后使用的 shell 考试题卷 1/55 试卷科目：考试 程序。某黑客设法窃取了银行账户管理系统的 passwd 文件后，发现每个用户的加密的口令数据项都显示为’x’。下 列选项中，对此现象的解释正确的是（） A)A．黑客窃取的 passwd 文件是假的 B)用户的登录口令经过不可逆的加密算法加密结果为‘X‘ C)C．加密口令被转移到了另一个文件里 D)D．这些账户都被禁用了 7.[单选题]自主控制访问（DAC）是应用很广泛的访问控制方法，常用于多种商业系统中，以下对DAC模型的理解中，存 在错误的是（ ） A)在DAC模型中，资源的所有者可以规定谁有权访问它们的资源 B)DAC是一种对单个用户执行访问控制的过程和措施 C)DAC可为用户提供灵活调整的安全策略，具有较好的易用性和可扩展性，可以抵御特洛伊木马的攻击 D)在DAC中，具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体 8.[单选题]下列哪一组是Orecle数据库的默认用户名和默认口令 A)用户名：Scott；口令：tiger B)用户名：‘sa’：口令：null C)用户名：‘ROOT’口令：null