CISP全真模式测试题(二)
免责声明
文章仅做经验分享用途,利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!!!
1、下列关于信息安全保障的说法错误的是:
A.信息安全保障的问题就是安全的效用问题,在解决或预防信息安全问题时,要从资源、技术、管理的可行性和有效性做出权衡和取舍
B.在信息系统生命周期中,从技术、管理、工程和人员等方面提出安全保障要求
C.在信息系统所处的运行环境里,以风险和策略为出发点,即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略
D.信息安全保障的最终目标是要同时保障组织机构信息资产和信息系统资产
参考答案:D
2、按照技术能力、所拥有的资源和破环力来排列,下列威胁中哪种威胁最大?
A.个人黑客
B.网络犯罪团伙
C.网络战士
D.商业间谍
参考答案:B
3、信息安全发展各阶段中,下面哪一项是通信安全阶段主要面临的安全威胁?
A.病毒
B.非法访问
C.信息泄露
D.脆弱口令
参考答案:C
4、信息系统安全主要从哪几个方面进行评估?
A.1个(技术)
B.2个(技术、管理)
C.3个(技术、管理、工程)
D.4个(技术、管理、工程、应用)
参考答案:C
5、人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:
A.为了更好地完成组织机构的使命
B.针对信息系统的攻击方式发生重大变化
C.风险控制技术得到革命性的发展
D.除了保密性,信息的完整性和可用性也引起了人们的关注
参考答案:A
6、以下关于信息系统安全保障是主观和客观的结合说法最准确的是:
A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全
B.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心
C.是一种通过客观证据向信息系统评估者提供主观信心的活动
D.是主观和客观综合评估的结果
参考答案:B
7、完整性机制可以防范以下哪种攻击?
A.假冒源地址或用户的地址的欺骗攻击
B.抵赖做过信息的递交行为
C.数据传输中被窃听获取
D.数据传输中被篡改或破环
参考答案:D
8、依据国家标准GB/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)是从信息系统安全保障____的角度来描述的信息系统安全保障方案。
A.建设者
B.所有者
C.评估者
D.制定者
参考答案:A
9、P2DR模型相比PDR,增加了动态适应的特点,这是因为:
A.策略(Policy)是基于人的决定,而人的思想是变化最快的因素,因此,P2DR模型就具备了动态特征
B.策略是与风险相对应的,而风险是动态变化的,策略需要根据风险的动态变化而调整,因此,P2DR模型就具备了动态特征
C.在现实情况中,需要不断调整和改善防护措施,使之逐步接近策略的要求,因此,P2DR模型就具备了动态特征
D.以上说法都不对
参考答案:B,
理解:安全具有动态性。安全的概念是相对的,任何一个系统都具有潜在的危险,没有绝对的安全,安全程度随着时间的变化而改变。在一个特定的时期内,在一定的安全策略下,系统是安全的。但是随着时间的演化和环境的变迁(如攻击技术的进步、新漏洞的暴露),系统可能会变的不安全。因此需要适应变化的环境并能做出相应的调整以确保安全防护。
10、依据国家标准GB/T20274《信息系统安全保障评估框架》,在信息系统安全目标中,评估对象包括哪些内容?
A.信息系统管理体系、技术体系、业务体系
B.信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程
C.信息系统安全管理、信息系统安全技术和信息系统安全工程
D.信息系统组织结构、管理制度、资产
参考答案:B
11、我国信息安全标准化技术委员会(TC260)目前下属6个工作组,其中负责信息安全管理的小组是:
A.WG 1
B.WG 7
C.WG 3
D.WG 5
参考答案:B
12、美国国防部公布的《可信计算机系统评估准则》(TCSEC)把计算机系统的安全分为个大的等级。
A.3
B.4
C.5
D.6
参考答案:B
13、以下对确定信息系统的安全保护等级理解正确的是:
A.信息系统的安全保护等级是信息系统的客观属性
B.确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施
C.确定信息系统的安全保护等级时应考虑风险评估的结果
D.确定信息系统的安全保护等级时应仅考虑业务信息的安全性
参考答案:A
14、依据GB/T 24364-2009 《信息安全技术 信息安全应急响应计划规范》,应急响应方法论的响应过程的第二步是
A.准备
B.确认
C.遏制
D.根除
参考答案:B
15、下列信息安全相应的标准中是信息安全管理体系标准而不是主要用于对信息系统本身进行安全评价的标准。
A.TCSEC(橘皮书)
B.信息技术安全评估准则ITSEC
C.信息技术安全评估通用标准CC
D.ISO/IEC27000
参考答案:D
16、是目前国际通行的信息技术产品安全性评估标准
A.TCSEC
B.ITSEC
C.CC
D.IATF
参考答案:C
17、下列哪项不是《信息安全等级保护管理办法》(公通字[2007]43号)规定的内容?
A.国家信息安全等级保护坚持自主定级、自主保护的原则
B.国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查
C.跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级
D.涉及国家秘密的信息系统不进行分等级保护
参考答案:D
18、下面有关我信息安全管理体制的说法错误的是
A.目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面
B.我国的信息安全保障工作综合利用法律、管理和技术的手段
C.我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针
D.我国对于信息安全责任的原则是谁主管、谁负责;谁经营、谁负责
参考答案:C
19、以下哪一项不是我国与信息安全有关的国家法律?
A.《信息安全等级保护管理办法》
B.《中华人民共和国保守国家秘密法》
C.《中华人民共和国刑法》
D.《中华人民共和国国家安全法》
参考答案:A
20、目前我国形成了相关部门各司其职、相互配合,综合利用法律、管理和技术手段,共同维护国家信息安全的一个多方“齐抓共管”的信息安全管理体系。“相关部门”不包括:
A.工业和信息化部
B.新闻办
C.国家保密局