CISM题库(250题含答案) 下载本文

- 9 - 中电运行技术研究院 A.企业经营管理中的诸多操作或服务都可以外包

B.通过业务外包,企业也把相应的风险承担者转移给了外包商,企业从此不必对外包业务负任何直接或 间接的责任

C.虽然业务可以外包,但是对于外包业务的可能的不良后果,企业仍然承担责任 D.过多的外包业务可能产生额外的操作风险或其他隐患

86.信息化建设和信息安全建设的关系应当是: A.信息化建设的结束就是信息安全建设的开始

B.信息化建设和信息安全建设应同步规划、同步实施

C.信息化建设和信息安全建设是交替进行的,无法区分谁先谁后 D.以上说法都正确

87.关于 SSE-CMM 的描述错误的是:

A.1993 年 4 月美国国家安全局资助,有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成

SSE-CMM 项目组

B.SSE-CMM 的能力级别分为 6 个级别

C.SSE-CMM 将安全工程过程划分为三类:风险、工程和保证 D.SSE 的最高能力级别是量化控制

88.以下对 SSE-CMM 描述正确的是: A.它是指信息安全工程能力成熟模型 B.它是指系统安全工程能力成熟模型 C.它是指系统安全技术能力成熟模型 D.它是指信息安全技术能力成熟模型 89.根据 SSE-CMM 信息安全工程过程可以划分为三个阶段,其中 确立安全解决方案的置信度并且 把这样的置信度传递给顾客。

A.保证过程 B.风险过程 C.工程和保证过程 D.安全工程过程

90.下面对于 SSE-CMM 保证过程的说法错误的是: A.保证是指安全需求得到满足的可信任程度

B.信任程度来自于对安全工程过程结果质量的判断

C.自验证与证实安全的主要手段包括观察、论证、分析和测试 D.PA“建立保证论据”为 PA“验证与证实安全”提供了证据支持

91.下面哪一项为系统安全工程能力成熟度模型提供评估方法: A.ISSE B.SSAM C.SSR D.CEM

92.在 SSE-CMM 中对工程过程能力的评价分为三个层次,由宏观到微观依次是: A.能力级别-公共特征(CF)-通用实践(GP) B.能力级别-通用实践-(GP)-公共特征(CF) C.通用实践-(GP)-能力级别-公共特征(CF) D.公共特征(CF)-能力级别-通用实践-(CP)

93.一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规 范的定义?

A.2 级——计划和跟踪 B.3 级——充分定义 C.4 级——量化控制 D.5 级——持续改进

94.根据 SSE-CMM,安全工程过程能力由低到高划分为:

- 10 - 中电运行技术研究院 A.未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等 6 个级别 B.基本实施、计划跟踪、充分定义、量化控制和持续改进等 5 个级别 C.基本实施、计划跟踪、量化控制、充分定义和持续改进等 5 个级别 D.未实施、基本实施、计划跟踪、充分定义 4 个级别

95.下列哪项不是 SSE-CMM 模型中工程过程的过程区域? A.明确安全需求 B.评估影响 C.提供安全输入 D.协调安全

96.SSE-CMM 工程过程区域中的风险过程包含哪些过程区域: A.评估威胁、评估脆弱性、评估影响 B.评估威胁、评估脆弱性、评估安全风险

C.评估威胁、评估脆弱性、评估影响、评估安全风险 D.评估威胁、评估脆弱性、评估影响、验证和证实安全

97.系统安全工程不包含以下哪个过程类: A.工程过程类 B.组织过程类 C.管理过程类 D.项目过程类

98.ISSE(信息系统安全工程)是美国发布的 IATF3.0 版本中提出的设计和实施信息系统 。 A.安全工程方法 B.安全工程框架 C.安全工程体系结构 D.安全工程标准 99.IT 工程建设与 IT 安全工程建设脱节是众多安全风险涌现的根源,同时安全风险也越来越多地体现在应 用层,因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑,以下哪项工作是在 IT 项目的开发阶段不需要重点考虑的安全因素: A.操作系统的安全加固 B.输入数据的校验 C.数据处理过程控制 D.输出数据的验证

100.触犯新刑法 285 条规定的非法入侵计算机系统罪可判处 。 A.假冒源地址或用户的地址的欺骗攻击 B.抵赖做过信息的递交行为 C.数据传输中被窃听获取 D.数据传输中被篡改或破坏

101.以下关于信息安全保障说法中哪一项不正确? A.信息安全保障是为了支撑业务高效稳定的运行 B.以安全促发展,在发展中求安全 C.信息安全保障不是持续性开展的活动 D.信息安全保障的实现,需要将信息安全技术与管理相结合

102.信息安全保障是一种立体保障,在运行时的安全工作不包括: A.安全评估 B.产品选购 C.备份与灾难恢复 D.监控

103.以下对信息安全风险管理理解最准确的说法是: A.了解风险 B.转移风险 C.了解风险并控制风险 D.了解风险并转移风险

- 11 - 中电运行技术研究院 104.以下关于 ISO/IEC27001 标准说法不正确的是:

A.本标准可被内部和外部相关方用于一致性评估,审核的重点就是组织信息安全的现状,对部署的信息 安全控制是好的还是坏的做出评判。

B.本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的 ISMS。 C.目前国际标准化组织推出的四个管理体系标准:质量管理体系、职业健康安全管理体系、环境管理体 系、信息安全管理体系、都采用了相同的方法,即 PDCA 模型。 D .

本.下列哪些描述同 SSL 相关? 105标A.公钥使用户可以交换会话密钥、解密会话密钥并验证数字签名的真实性 准B.公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密数据 注C.私钥使用户可以创建数字签名、验证数字签名的真实性并交换会话密钥 重D.私钥使用户可以创建数字签名、加密数据和解密会话密钥 监106视.Windows 操作系统的注册表运行命令是:

D.Regedit.mmc A.Regsvr32 B.Regedit C.Regedit.msc 和

107.在 linux 系统中拥有最高级别权限的用户是: 审

A.root B.administrator C.mail D.nobody , 因

108.下列哪个是蠕虫的特性? 为

A.不感染、依附性 B.不感染、独立性 C.可感染、依附性 D.可感染、独立性 监 视109.下列哪种恶意代码不具备“不感染、依附性”的特点? 和A.后门 B.陷门 C.木马 D.蠕虫 评 审110.路由器在两个网段之间转发数据包时,读取其中的()地址来确定下一跳的转发路径。 时A.IP B.MAC C.源 D.ARP 持 续111.某单位通过防火墙进行互联网接入,外网口地址为 202.101.1.1,内网口地址为 改192.168.1.1, 这种情况下防火墙工作模式为: 进A.透明模式 B.路由模式 C.代理模式 D.以上都不对 的112基.以下哪个是防火墙可以实现的效果? A.有效解决对合法服务的攻击 B.有效解决来自内部的攻击行为 础C.有效解决来自互联网对内网的攻击行为 D.有效解决针对应用层的攻击 。 如

113.某单位采购主机入侵检测,用户提出了相关的要求,其中哪条是主机入侵检测无法实现的? 果

A.精确地判断攻击行为是否成功 B.监控主机上特定用户活动、系统运行情况 缺

C.监测到针对其他服务器的攻击行为 D.监测主机上的日志信息 乏 114对.某单位采购主机入侵检测,用户提出了相关的要求,其中哪条要求是错误的? A.实时分析网络数据,检测网络系统的非法行为 B.不占用其他计算机系统的任何资源执

C.不会增加网络中主机的负担 D.可以检测加密通道中传输的数据 行 情

115.某单位将对外提供服务的服务器部署在防火墙DMZ 区,为了检测到该区域中的服务器受到的况

攻击行为,应将防火墙探头接口镜像那个位置的流量? 和有效性的

- 12 - 中电运行技术研究院 A.内网核心交换机 B.防火墙互联网接口 C.防火墙DMZ 区接口 D.以上都可以

116.按照 SSE-CMM,能力级别第三级是指:

A.定量控制 B.计划和跟踪 C.持续改进 D.充分定义

117.下列哪项不是 SSE-CMM 中规定的系统安全工程过程类: A.工程 B.组织 C.项目 D.资产

118.信息系统安全工程(ISSE)的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因素,在 IT 项目 的立项阶段,以下哪一项不是必须进行的工作: A.明确业务对信息安全的要求 B.识别来自法律法规的安全要求 C.论证安全要求是否正确完整 D.通过测试证明系统的功能和性能可以满足安全要求

119.以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?

A.应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑

B.应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品

C.应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实 D.应详细规定系统验收测试中有关系统安全性测试的内容

120.在 IT 项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据 输入进行校验可以实现的安全目标: A.防止出现数据范围以外的值 B.防止出现错误的数据处理顺序 C.防止缓冲区溢出攻击 D.防止代码注入攻击

121.现阶段,信息安全发展处于哪一个阶段?

A.通信安全 B.计算机发展阶段 C.信息安全 D.信息安全保障

122.下面哪一项组成了CIA 三元组? A.保密性,完整性,保障 B.保密性,完整性,可用性 C.保密性,综合性,保障 D.保密性,综合性,可用性

123.涉及国家秘密的计算机系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须进 行:

A 物理隔离 B 逻辑隔离 C 人员隔离 D 设备隔离

124.以下关于国家秘密和商业秘密的说法不正确的是:

A.两者法律性质不同。国家秘密体现公权利,其权利主体是国家,而商业秘密体现私权利,其权利主体 是技术、经营信息的发明人或其他合法所有人、使用人:

B.两者确定程序不同。国家秘密必须依照法定程序确定,而商业秘密的确定视权利人的意志而定。

C.国家秘密不能自由转让,而商业秘密则可以进入市场自由转让。 D.国家秘密与商业秘密在任何条件下不可以相互转化。 125.加密与解密便用相同的密钥,这种加密算法是 A.对称加密算法

B.非对称加密算法

C.散列算法 D.RSA