cisp总和_在线真题试卷与模拟练习_cisp总和_考试宝

更新时间：试题数量：购买人数：提供作者：

有效期：个月

章节介绍：共有个章节

收藏

我的练习

我的错题
(0道)

我的收藏
(0道)

我的斩题
(0道)

我的笔记
(0道)

专项练习

顺序练习 0 / 0

随机练习 自定义设置练习量

题型乱序 按导入顺序练习

模拟考试 仿真模拟

题型练习 按题型分类练习

易错题 精选高频易错题

学习资料 考试学习相关信息

搜索

题库预览

不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是（）

根据《关于开展信息安全风险评估工作的意见》的规定，错误的是( )

某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令
的鉴别技术相比，关于此种鉴别技术说法不正确的是

在密码学的 Kerchhof 假设中，密码系统的安全性仅依赖于_______。

关于 linux 下的用户和组，以下描述不正确的是

张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的
昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻
击?

SARSA 模型包括（），它是一个（），它在第一层从安全的角度定义了
（）。模型的每一层在抽象方面逐层减少，细节逐层增加，因此，它的层级都是
建在其他层之上的，从策略逐渐到技术和解决方案的（）。其思路上创新提出了
一个包括战略、概念、设计、实施、度量和审计层次的（）

某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析，发现
此外挂是一个典型的木马后门，使黑客能够获得受害者电脑的访问权，该后门程
序为了达到长期驻留在受害都的计算机中，通过修改注册表启动项来达到后门程
序随受害者计算机系统启动而启动，这防范此类木马后门的攻击，以下做法无用
的是（）

GB／T 22080-2008 《信息技术安全技术信息安全管理体系要求》
指出，建立信息安全管理体系应参照 PDCA 模型进行，即信息安全管理体系应包
括建立 ISMS、实施和运行 ISMS、监视和评审 ISMS、保持和改进 ISMS 等过程，
并在这些过程中应实施若干活动，请选出以下描述错误的选项（）

终端访问控制器访问控制系统（Terminal Access Controller
Access-Control System,TACACS）由 RFC1492 定义，标准的 TACACS 协议只认证
用户是否可以登录系统，目前已经很少使用，TACACS+协议由 Cisco 公司提出，
主要应用于 Ciso 公司的产品中，运行与 TCP 协议之上。TACACS+协议分为（）两
个不同的过程

从 Linux 内核 2.1 版开始，实现了基于权能的特权管理机制，实现了对
超级用户的特权分割，打破了 UNIX/LINUX 操作系统中超级用户/普通用户的概
念，提高了操作系统的安全性。下列选项中，对特权管理机制的理解错误的是（）。

数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护
数据库的安全。以下关于数据库常用的安全策略理解不正确的是（）。

《信息安全保障技术框架》（Information Assurance Technical
Framework，IATF）是由（）发布的。

小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应
聘时，面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要
为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间
和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（）。

小牛在对某公司的信息系统进行风险评估后，因考虑到该业务系统中部
分涉及金融交易的功能模块风险太高，他建议该公司以放弃这个功能模块的方式
来处理该风险。请问这种风险处置的方法是（）。

小张新购入了一台安装了 Windows 操作系统的笔记本电脑。为了提升操
作系统的安全性，小张在 Windows 系统中的“本地安全策略”中，配置了四类安
全策略：账号策略、本地策略、公钥策略和 IP 安全策略。那么该操作属于操作
系统安全配置内容中的（）。

某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址，
但是该网络内有 15 台个人计算机，这些个人计算机不会同时开机并连接互联网。
为解决公司员工的上网问题，公司决定将这 10 个互联网地址集中起来使用，当
任意一台个人计算机开机并连接网络时，管理中心从这 10 个地址中任意取出一
个尚未分配的 IP 地址分配给这个人的计算机。他关机时，管理中心将该地址收
回，并重新设置为未分配。可见，只要同时打开的个人计算机数量少于或等于可
供分配的 IP 地址，那么，每台个人计算机可以获取一个 IP 地址，并实现与互联
网的连接。该公司使用的 IP 地址规划方式是（）。

Kerberos 协议是常用的集中访问控制协议，通过可信第三方的认证服务，减轻应用服务器的负担。Kerberos 的运行环境由密钥分发中心（KDC）、应用服务器和客户端三个部分组成。其中，KDC 分为认证服务器 AS 和票据授权服务器 TGS 两部分。下图展示了 Kerberos 协议的三个阶段，分别为（1）Kerberos获得服务许可票据，（2）Kerberos 获得服务，（3）Kerberos 获得票据许可票据。下列选项中，对这三个阶段的排序正确的是（）。（含图）

PKI 的主要理论基础是（）。

信息系统安全保障评估概念和关系如图所示。信息系统安全保障评

估，就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进

行客观的评估。通过信息系统安全保障评估所搜集的（客观证据），向信息系统

的所有相关方提供信息系统的（安全保障工作）能够实现其安全保障策略，能够

将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的

评估对象是（信息系统），信息系统不仅包含了仅讨论技术的信息技术系统，还

包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一

个动态持续的过程，涉及信息系统整个（生命周期），因此信息系统安全保障的

评估也应该提供一种（动态持续）的信心。（含图）