2021年CISP考試模擬試題：11-20題

CISP考試內容主要包括信息安全保障、網絡安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了2021CISP考試模擬題，大家可以練習下。

單項選擇題（每題1分）

11、進行信息安全管理體系的建設是一個涉及企業(yè)文化，信息系統(tǒng)特點、法律法規(guī)限制等多方面因素的復雜過程，人們在這樣的過程中總結了許多經驗，下面哪一項是最不值得被贊同的（）

A、成功的信息安全管理體系建設必須得到組織的高級管理層的直接支持

B、制定的信息安全管理措施應當與組織的文化環(huán)境相匹配

C、應該對IS027002國際標準批判的參考，不能完全照搬

D、借助有經驗的大型國際咨詢公司，往往可以提高公司管理體系的執(zhí)行效果

參考答案：C

12、對程序源代碼進行訪問控制管理時，以下那種做法是錯誤的?（）

A、若有可能，在實際生產系統(tǒng)中不保留源程序庫

B、對源程序庫的訪問進行嚴格的審計

C、技術支持人員應可以不受限制的訪問源程序

D、對源程序庫的拷貝應受到嚴格的控制規(guī)程的制約

參考答案：C

13、目前數據大集中是我國重要的大型分布式信息系統(tǒng)建設和發(fā)展的趨勢，數據大集中就是將數據集中存儲和管理，為業(yè)務信息系統(tǒng)的運行搭建了統(tǒng)一的數據平臺，對這種做法的認識正確的是?（）

A、數據庫系統(tǒng)龐大會提高管理成本

B、數據庫系統(tǒng)龐大會降低管理效率

C、數據的集中會降低風險的可控性

D、數據的集中會造成風險的集中

參考答案：D

14、管理者何時可以根據風險分析結果對已識別風險不采取措施（）

A、當必須的安全對策的成本高出實際風險的可能造成的譴責負面影響時

B、當風險減輕方法提高業(yè)務生產力時

C、當引起風險發(fā)生的情況不在部門控制范圍之內時

D、不可接受

參考答案：A

15、IS0的0SI安全體系結構中，以下哪一個安全機制可以提供抗抵賴安全服務（）

A、加密

B、數字簽名

C、訪問控制

D、路由控制

參考答案：B

16、以下哪一個關于信息安全評估的標準首先明確提出了保密性、完整性和可用性三項信息安全特性（）

A、ITSEC

B、TCSEC

C、GB/T9387、2

D、彩虹系列的橙皮書

參考答案：A

17、黑客進行攻擊的最后一個步驟是:（）

A、偵查與信息收集

B、漏洞分析與目標選定

C、獲取系統(tǒng)權限

D、掃戰(zhàn)場、清楚證據

參考答案：D

18下面哪一項是緩沖溢出的危害?（）

A、可能導致shellcode的執(zhí)行而非法獲取權限，破壞系統(tǒng)的保密性

B、執(zhí)行shellcode后可能進行非法控制，破壞系統(tǒng)的完整性

C、可能導致拒絕服務攻擊，破壞系統(tǒng)的可用性

D、以上都是

參考答案：D

19、以下哪一項是DOS攻擊的一個實例（）

A、SQL注入

B、IPSpoof

C、Smurf攻擊

D、字典破解

參考答案：B

20、下面對于CC的“保護輪廓”(PP)的說法最準確的是:（）

A、對系統(tǒng)防護強度的描述

B、對評估對象系統(tǒng)進行規(guī)范化的描述

C、對一類TOE的安全需求，進行與技術實現無關的描述

D、由一系列保證組件構成的包，可以代表預先定義的保證尺度

參考答案：C

CISP考試內容主要包括信息安全保障、網絡安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理的2021CISP考試模擬題型，大家可以練習下。

單項選擇題（每題1分）

11、進行信息安全管理體系的建設是一個涉及企業(yè)文化，信息系統(tǒng)特點、法律法規(guī)限制等多方面因素的復雜過程，人們在這樣的過程中總結了許多經驗，下面哪一項是最不值得被贊同的（）

A、成功的信息安全管理體系建設必須得到組織的高級管理層的直接支持

B、制定的信息安全管理措施應當與組織的文化環(huán)境相匹配

C、應該對IS027002國際標準批判的參考，不能完全照搬

D、借助有經驗的大型國際咨詢公司，往往可以提高公司管理體系的執(zhí)行效果

參考答案：C

12、對程序源代碼進行訪問控制管理時，以下那種做法是錯誤的?（）

A、若有可能，在實際生產系統(tǒng)中不保留源程序庫

B、對源程序庫的訪問進行嚴格的審計

C、技術支持人員應可以不受限制的訪問源程序

D、對源程序庫的拷貝應受到嚴格的控制規(guī)程的制約

參考答案：C

13、目前數據大集中是我國重要的大型分布式信息系統(tǒng)建設和發(fā)展的趨勢，數據大集中就是將數據集中存儲和管理，為業(yè)務信息系統(tǒng)的運行搭建了統(tǒng)一的數據平臺，對這種做法的認識正確的是?（）

A、數據庫系統(tǒng)龐大會提高管理成本

B、數據庫系統(tǒng)龐大會降低管理效率

C、數據的集中會降低風險的可控性

D、數據的集中會造成風險的集中

參考答案：D

14、管理者何時可以根據風險分析結果對已識別風險不采取措施（）

A、當必須的安全對策的成本高出實際風險的可能造成的譴責負面影響時

B、當風險減輕方法提高業(yè)務生產力時

C、當引起風險發(fā)生的情況不在部門控制范圍之內時

D、不可接受

參考答案：A

15、IS0的0SI安全體系結構中，以下哪一個安全機制可以提供抗抵賴安全服務（）

A、加密

B、數字簽名

C、訪問控制

D、路由控制

參考答案：B

16、以下哪一個關于信息安全評估的標準首先明確提出了保密性、完整性和可用性三項信息安全特性（）

A、ITSEC

B、TCSEC

C、GB/T9387、2

D、彩虹系列的橙皮書

參考答案：A

17、黑客進行攻擊的最后一個步驟是:（）

A、偵查與信息收集

B、漏洞分析與目標選定

C、獲取系統(tǒng)權限

D、掃戰(zhàn)場、清楚證據

參考答案：D

18下面哪一項是緩沖溢出的危害?（）

A、可能導致shellcode的執(zhí)行而非法獲取權限，破壞系統(tǒng)的保密性

B、執(zhí)行shellcode后可能進行非法控制，破壞系統(tǒng)的完整性

C、可能導致拒絕服務攻擊，破壞系統(tǒng)的可用性

D、以上都是

參考答案：D

19、以下哪一項是DOS攻擊的一個實例（）

A、SQL注入

B、IPSpoof

C、Smurf攻擊

D、字典破解

參考答案：B

20、下面對于CC的“保護輪廓”(PP)的說法最準確的是:（）

A、對系統(tǒng)防護強度的描述

B、對評估對象系統(tǒng)進行規(guī)范化的描述

C、對一類TOE的安全需求，進行與技術實現無關的描述

D、由一系列保證組件構成的包，可以代表預先定義的保證尺度

參考答案：C