CISP(注册信息安全专业人员)最新练习题

答案：B

84. BGP路由协议用哪个协议的哪个端口进行通信： A. UDP 520 B. TCP 443 C. TCP 179 D. UDP 500

答案：C

85. 下列哪个协议可以防止局域网的数据链路层的桥接环路： A. HSRP B. STP C. VRRP D. OSPF

答案：B

86. 在linux系统中用哪个命令可以查看文件和目录，显示文件的属性： A. cat B. mkdir C. ls D. ls –l

答案：D

87. 在linux系统中磁盘分区用哪个命令： A. fdisk B. mv C. mount D. df

答案：A

88. Linux系统的 /etc目录从功能上看相当于windows系统的哪个文件夹： A. Program Files B. Windows

C. System volume information D. TEMP

答案：B

89. 在linux系统中拥有最高级别权限的用户是： A. root

B. administrator C. mail D. nobody

答案：A

90. 如果想用windows的网上邻居方式和linux系统进行文件共享，那么在linux系统中要开启哪个服务： A. DHCP B. NFS C. SAMBA D. SSH

答案：C

91. IDS和IPS的区别：

A. IDS和IPS的功能上没有区别，只是习惯性的叫法不同。

B. IDS可以分析出网络中可能存在的攻击并报警，但不能阻断攻击。

C. 通常情况下IPS在网络的拓扑结构中属于旁路设备，而IDS和其他网络设备串联。 D. IDS具有防火墙的功能。

答案：B

92. 在一个新组建的运行正常的网络中，如果只允许内网的某些客户可以访问互联网，内网的某些服务器

可以被互联网上的用户访问，要在网络中再次部署哪种设备： A. 防病毒过滤网关 B. IDS C. 二层交换机 D. 防火墙

答案：D

93. 在SQL（结构化查询语言）中，下列哪个是DML（数据操纵语言）： A. CREATE B. GRANT C. INSERT D .DROP

答案：C

94. 在标准GB9361-88中对机房的安全等级划分正确的是： A. 划分为A、B两级 B. 划分为A、B、C三级 C. 划分为A、B、C、D四级 D. 划分为A、B、C、D、E五级

答案：B

95. 在标准GB9361-88中对各级机房都有安全要求的项目是下面哪些： A. 场地选择 B. 防火 C. 供配电系统

D. 火灾报警及消防措施

答案：B、C、D

96. 在电磁兼容方面应按照GB9254-1988标准，下面那些是不符合GB9254-1988标准的描述： A. 将设备分为三级 B. 将设备分为两级

C. 其中A级设备适用于商用及工业环境中使用的设备，保护距离为30m。 D. 其中B级设备适用于家用及住宅去中使用的设备，保护距离为10m。

答案：B、C、D

97. 关于SSE-CMM不对的描述是：

A. 1993年4月美国国家安全局资助，有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。

B. SSE的能力级别分为5级。

C. SSE-CMM将安全工程划分为三个基本过程：风险、工程和保证。 D. SSE的最高能力级别是量化控制。

答案： D

98. 下面那条不属于SSE-CMM中能力级别3“充分定义”级的基本内容：

A. 改进组织能力 B. 定义标准过程 C. 协调安全实施 D. 执行已定义的过程

答案： A

99. 注册信息安全专业人员（CISP）试题1.《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基

本要求》中对于三级防护系统中系统建设管理部分的安全方案设计项的要求描述正确的是： A. 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施。

B. 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的正确性进行论证和审定，才能正式实施。

C. 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施。 D. 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，才能正式实施。

答案：C

100. 《信息安全技术 信息安全风险评估规范 GB/T 20984-2007》中关于资产分类的描述正确的是： A 具体的资产分类方法可以根据评估对象的要求；

B 资产有多种表现形式；同样的两个资产即使属于不同的信息系统，重要性依然相同。 C 根据资产的表现形式，可将资产分为数据、软件、硬件、服务等类型。 D 根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。

答案：D

101. 《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中对于三级防护系统中系统建

设管理部分的等级测评项的要求描述不正确的是：

A. 应在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改。

B. 应选择具有相关技术资质和安全资质的测评单位进行等级测评。 C. 应指定或授权专门的部门或人员负责等级测评的管理。

D. 在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改。

答案：B

102. 《信息安全技术 信息安全风险评估规范 GB/T 20984-2007》中关于信息系统生命周期各阶段的风险

评估描述不正确的是：

A 规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。

B 设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求。 C 实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证。

D 运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。

答案：D

103. 信息安全风险评估分为自评估和检查评估两种形式。下列描述不正确的是： A. 信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。 B. 检查评估可在自评估实施的基础上，对关键环节或重点内容实施抽样评估。

C. 检查评估也可委托风险评估服务技术支持方实施，但评估结果仅对检查评估的发起单位负责。

D. 检查评估是指信息系统上级管理部门组织有关职能部门开展的风险评估。

答案：D

104. 《GB/T 20269-2006 信息安全技术 信息系统安全管理要求》中关于安全管理规章制度的要求描述正

确的是：

A.基本的安全管理制度应包括网络安全管理规定，系统安全管理规定，数据安全管理规定，防病毒规定，以及机房安全管理规定等；

B.基本的安全管理制度应包括网络安全管理规定，系统安全管理规定，数据安全管理规定，防病毒规定，以及相关的操作规程等；

C.基本的安全管理制度应包括网络安全管理规定，系统安全管理规定，数据安全管理规定，防病毒规定，机房安全管理规定，以及相关的操作规程等；

D.较完整的安全管理制度应在基本的安全管理制度的基础上，增加设备使用管理规定，人员安全管理规定，安全审计管理规定，用户管理规定，信息分类分级管理规定，安全事件报告规定，事故处理规定，应急管理规定和灾难恢复管理规定等；

答案：C

105. 下面关于IIS错误的描述正确的是？ A. 401—找不到文件 B. 403—禁止访问 C. 404—权限问题 D. 500—系统错误

答案：B

106. 某公司决定建立一套基于PKI(公共密钥基础结构)的电子签名系统。用户的密钥将会被存储在个人计

算机的硬盘中，并由口令保护。这一方法最重大的风险是: A. 通过替换一位用户的公钥方式来假扮他。 B. 通过另一用户的私钥进行数字签名来伪造。 C. 如果口令泄密，用户的数字签名将被其他人使用。 D. 通过替换另一个用户的私钥来伪造。

答案：A

107. 以下哪一种入侵检测系统监控网络中流量和事件的整体模式，并建立一个数据库？ A. 基于特征库的 B. 基于神经网络的 C. 基于统计(信息)的 D. 基于主机的

答案：B

108. 当实施IT治理时，决定实施对象的优先级时,下列哪一项是最重要的考虑因素？ A. 过程成熟度 B. 性能指标 C. 商业风险 D. 保证报告

答案：C

109. 可用性和IT服务的可持续性的最佳实践应该是： A. 使费用减到最小与灾难恢复相结合 B. 提供足够的能力满足业务需求 C. 提供合理的担保满足对客户的责任 D. 及时地生成性能报告