CISP考试认证(习题卷3).pdfVIP

试卷科目：考试

CISP考试认证(习题卷3)

说明：答案和解析在试卷最后

第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]信息系统安全保护等级为3级的系统,应当()年进行一次等级测评?

A)0.5

B)1

C)2

D)3

2.[单选题]一个组织将制定一项策略以定义了禁止用户访问的WEB站点类型。为强制执行这一策略,最有效的技术是什

么?

A)状态检测防火墙

B)WE内容过滤器

C)WEB缓存服务器

D)应该代理服务器

3.[单选题]入侵防御系统（IPS）是继入侵检测系统（IDS）后发展起来的一项新的安全技术，它与IDS有着许多不同点

，请指出下列哪一项描述不符合IPS的特点？

A)串接到网络线路中

B)对异常的进出流量可以直接进行阻断

C)有可能造成单点故障

D)不会影响网络性能

4.[单选题]用于跟踪路由的命令是

A)nestAt

B)regeDit

C)systeminfo

D)trACert

5.[单选题]信息资产敏感性指的是:

A)机密性

B)完整性

C)可用性

D)安全性

6.[单选题]19.最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一

个违反了最小特权的原则，作为评审专家，请指出是哪一个？

A)软件在Linux下按照时，设定运行时使用nobody用户运行实例

B)软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库

C)软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志

表拥有权限

D)为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运

考试题卷31/21

试卷科目：考试

行错误

7.[单选题]从系统工程的角度来处理信息安全问题,以下说法错误的是:

A)系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为

贯穿系统整个生存期的工程实施指南。

B)系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安

全薄弱性在可容许范围之内。

C)系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。

D)系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途

径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。

8.[单选题]有关系统安全工程一能力成熟度模型(SEE-CMM)中的基本实施(BasePractices,),正确的理解是()

A)BP不限定于特定的方法或工具,不同的业务背景中可以使用不同的方法

B)BP不是根据广泛的现有资料、实践和专家意见综合得出的

C)BP不代表信息安全工程领域的最佳实践

D)BP不是过程区域(ProcessAreas,PA)的强制项

9.[单选题]某计算机机房由于人员疏忽或设备老化可能会有发生火灾的风险。该计算机机房的资产价值为200万元;

如果发生火灾,资产总值将损失至资产值的25%;这种火灾发生的可能性为25年发生一次。则这种威胁的年度损失预

期值为().

A)10,000元

B)15,000元

C)20,000元

D)25,000元

10.[单选题]信息收集是()攻击实施的基础,因此攻击者在实施前会对目标进行(),了解目标所有相关的()。这些资料

和信息对很多组织机构来说都是公开或看无用的,然而对攻击者来说,这些信息都是非常有价值的,这些信息收集得越多

,离他们成功得实现()就越近。如果为信息没有价值或价值的非常低,组织机构通常不会采取措施