CISP备考题库（四）

在当今这个日新月异的数字化浪潮中，信息安全已跃升至前所未有的战略高度，其重要性与日俱增，成为不容忽视的关键领域。为激发并引领广大青年才俊投身于网络安全专家的卓越征途，我们匠心独运地编纂了一套CISP（注册信息安全专业人员）备考模拟试题集，内含精心挑选的20道高质量题目。此套试题集不仅深度覆盖信息安全领域的核心知识体系与关键技术前沿，还精准模拟了真实考试的难度梯度与题型模式，旨在为考生构建一个贴近实战的备考环境，助力他们在未来的挑战中从容不迫，迈向职业生涯的辉煌篇章。

1. 作为业务持续性计划的一部分，在进行业务影响分析(BIA)时的步骤是:1．标识关键的业务过程;2．开发恢复优先级;3．标识关键的 IT 资源;4．表示中断影响和允许的中断时间
   A.１-3-4-2
   答案(a) 答题解析： 根据 BCM 的分析过程顺序为A。

2. 下面关于信息系统安全保障模型的说法不正确的是
   D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入。
   答案(d) 答题解析： 单位对信息系统运行维护和使用的人员在能力和培训方面需要投入。

3. 有关系统安全工程-能力成熟度模型（SSE-CMM)中基本实施（Base Practice）正确的理解是
   A.BP 不限定于特定的方法工具，不同业务背景中可以使用不同的方法
   答案(a) 答题解析： BP 属于安全工程的最小单元，其不限定于特定的方法工具，不同业务背景中可以使用 不同的方法；是根据广泛的现有资料，实施和专家意见综合得出的；代表着信息安全 工程领域的最佳实践；并且是过程区域（Process Areas，PA )的强制项。

4. 在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价值的评估，以下选项中正确的是
   C.资产的价值与其重要性密切相关
   答案© 答题解析： 答案为 C

5. 某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，正确的是
   B.应当尽早在软件开发的需求和设计阶段增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少得多。
   答案(b) 答题解析： 答案为 B。A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL 最大的特点 是增加了安全培训和应急响应。D-第三方测试是必要的软件安全测试类型。

6. 小李去参加单位组织的信息安全管理体系（Information Security Management System.ISMS）的理解画了以下一张图(图中包括了规划建立、实施运行、保持和改进)， 但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）
   C.监视和评审 ISMS
   答案© 答题解析： 管理体系 PDCA 分别指的阶段是：P-规划建立、D-实施运行、C-监视和评审、A-保持和改进

7. 在以下标准中，属于推荐性国家标准的是
   A.GB/T XXXX.X-200X
   答案(a) 答题解析： A 为国标推荐标准；B 为国标强制标准；C 为地方标准；D 为国标指导标准。

8. 关于我国加强信息安全保障工作的主要原则，以下说法错误的是
   D.全面提高信息安全防护能力，保护公众利益，维护国家安全
   答案(d) 答题解析：D 描述的是信息安全保障工作目标；ABC 描述的是信息安全保障的原则。

9. 以下哪些是需要在信息安全策略中进行描述的
   B.信息安全工作的基本原则
   答案(b) 答题解析： 安全策略是宏观的原则性要求，不包括具体的架构、参数和实施手段。

10. 下面的角色对应的信息安全职责不合理的是
    B.信息安全部门主管——提供各种信息安全工作必须的资源
    答案(b) 答题解析： 通常由管理层提供各种信息安全工作必须的资源。

11. 在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的
    B.为测试系统中的数据部署完善的备份与恢复措施
    答案(b) 答题解析： A、C、D 为测试系统必须要执行的，B 用于测试的包含个人隐私和其它敏感信息的实际生产系统中的数据不具备备份和恢复的价值

12. 以下关于灾难恢复和数据备份的理解，说法正确的是
    C.数据备份按数据类型划分可以划分为系统数据备份和用户数据备份
    答案© 答题解析： A 错误，因为差分备份是上次全备后的更新数据；增量备份是任何上一次备份后的更 新数据。全备份周期最长、次之差分备份，更新周期最短是增量备份。B 错误，我国灾备能力级别一共分为 6 级。D 是明显的错误。

13. 为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?
    A.实体“所知”以及实体“所有”的鉴别方法
    答案(a) 答题解析： 题目中安全登录会涉及到账号密码为实体所知，智能卡和短信是实体所有。

14. 以下哪一项不是工作在网络第二层的隧道协议：
    A.VTP
    答案(a) 答题解析： L2F、PPTP、L2TP 均为二层隧道协议。

15. 下列对网络认证协议 Kerberos 描述正确的是
    C.该协议完成身份鉴别后将获取用户票据许可票据
    答案© 答题解析： A 错误，因为使用对称密码；B 错误，因为密钥分发中心不包括客户机；D 错误，因 为协议需要时钟同步。三个步骤：1）身份认证后获得票据许可票据；2）获得服务许可票据；3)获得服务。

16. 在 OSI 参考模型中有 7 个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务。
    A.网络层
    答案(a) 答题解析： 网络层和应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务。

17. 相比文件配置表(FAT)文件系统，以下哪个不是新技术文件系统(NTFS)所具有的优势
    D.相比 FAT 文件系统，NTFS 文件系统能有效的兼容 linux 下 EXT 文件格式
    答案(d) 答题解析：NTFS 不能兼容 EXT 文件系统。

18. 关于 linux 下的用户和组，以下描述不正确的是
    C.用户和组的关系可是多对一，一个组可以有多个用户，一个用户不能属于多个组
    答案© 答题解析： 一个用户可以属于多个组。

19. 有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices， BP)，正确的理解是
    C.一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
    答案© 答题解析：A 错误，BP 是基于最佳的工程过程实践；B 错误，BP 是经过测试的；D 错误，一项BP和其他的 BP 是不重复。

20. 依据国家 GB/T 20274《信息系统安全保障评估框架》，信息系统安全目标(ISST) 中，安全保障目的指的是（ ）
    D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
    答案(d) 答题解析： GB/T 20274 信息系统保障评估框架从管理、技术、工程和总体方面进行评估。

另外还有白皮书和上面题库文档版本可找我拿，无偿！