cisp安全认证试题(1)

如果您发现本试卷没有包含本套题的全部小题，请尝试在页面顶部本站内搜索框搜索相关题目，一般都能找到。

如果恢复时间目标增加，则
- A.灾难容忍度增加
- B.恢复成本增加
- C.不能使用冷备援计算机中心
- D.数据备份频率增加
点击查看答案
在计算可接受的关键业务流程恢复时间时
- A.只需考虑停机时间的成本
- B.需要分析恢复操作的成本
- C.停机时间成本和恢复操作成本都需要考虑
- D.可以忽略间接的停机成本
点击查看答案
当发生灾难时，以下哪一项能保证业务交易的有效性
- A.从当前区域外的地方持续每小时1次地传送交易磁带
- B.从当前区域外的地方持续每天1次地传送交易磁带
- C.抓取交易以整合存储设备
- D.从当前区域外的地方实时传送交易磁带
点击查看答案
在什么情况下，热站会作为一个恢复策略被执行?
- A.低灾难容忍度
- B.高恢复点目标(RPO)
- C.高恢复时间目标(RTO)
- D.高灾难容忍度
点击查看答案
在业务持续性计划中，下面哪一项具有最高的优先级?
- A.恢复关键流程
- B.恢复敏感流程
- C.恢复站点
- D.将运行过程重新部署到一个替代的站点
点击查看答案
当审核一个组织的业务连续性计划时，某IS审计师观察到这个被审计组织的数据和软件文件被周期性的进行了备份。有效性计划哪一个特性在这里被证明?
- A.防止
- B.减轻
- C.恢复
- D.响应
点击查看答案
对于在ISMS内审中所发现的问题，在审核之后应该实施必要的改进措施并进行跟踪和评价，以下描述不正确的是?
- A.改进措施包括纠正和预防措施
- B.改进措施可由受审单位提出并实施
- C.不可以对体系文件进行更新或修改
- D.对改进措施的评价应该包括措施的有效性的分析
点击查看答案
以下哪种情形下最适合使用数据镜像来作为恢复策略?
- A.高的灾难容忍度
- B.高的恢复时间目标(RTO)
- C.低的恢复点目标(RPO)
- D.高的恢复点目标(RPO)
点击查看答案
如果数据中心发生灾难，下列那一项完整恢复一个关键数据库的策略是最适合的?
- A.每日备份到磁带并存储到异地
- B.实时复制到异地
- C.硬盘镜像到本地服务器
- D.实时数据备份到本地网格存储
点击查看答案
以下哪一项是两家公司为灾难恢复签订互惠协议而面临的最大风险?
- A.各自的发展将导致(互相间)软硬件不兼容
- B.当需要时资源未必可用
- C.恢复计划无法演练
- D.各家公司的安全基础架构可能不同
点击查看答案
以下关于风险评估的描述不正确的是?
- A.作为风险评估的要素之一，威胁发生的可能需要被评估
- B.作为风险评估的要素之一，威胁发生后产生的影响需要被评估
- C.风险评估是风险管理的第一步
- D.风险评估是风险管理的最终结果
点击查看答案
在评估一个高可用性网络的恢复能力时，下列情况风险最高：
- A.设备在地理位置上分散
- B.网络服务器位于同一地点
- C.热站就绪可以被激活
- D.网络执行了不同行程
点击查看答案
在一个分布式环境中，以下哪一项能够最大程度减轻服务器故障的影响?
- A.冗余路径
- B.(服务器)集群
- C.拨号备份链路
- D.备份电源
点击查看答案
以下关于安全控制措施的选择，哪一个选项是错误的?
- A.维护成本需要被考虑在总体控制成本之内
- B.最好的控制措施应被不计成本的实施
- C.应考虑控制措施的成本效益
- D.在计算整体控制成本的时候，应考虑多方面的因素
点击查看答案
在进行风险分析的时候，发现预测可能造成的风险的经济损失时有一定困难。为了评估潜在的损失，应该：
- A.计算相关信息资产的摊销费用
- B.计算投资的回报
- C.应用定性的方法进行评估
- D.花费必要的时间去评估具体的损失的金额
点击查看答案
以下关于标准的描述，那一项是正确的?
- A.标准是高级管理层对支持信息安全的声明
- B.标准是建立有效安全策略的第一要素
- C.标准用来描述组织内安全策略如何实施的
- D.标准是高级管理层建立信息系统安全的指示
点击查看答案
以下哪个选项是缺乏适当的安全控制的表现
- A.威胁
- B.脆弱性
- C.资产
- D.影响
点击查看答案
ISMS的审核的层次不包括以下哪个?
- A.符合性审核
- B.有效性审核
- C.正确性审核
- D.文件审核
点击查看答案
关于标准、指南、程序的描述，哪一项是最准确的?
- A.标准是建议性的策略，指南是强制执行的策略
- B.程序为符合强制性指南的一般性建议
- C.程序是为符合强制性指南的一般性建议
- D.程序是为符合强制性标准的的说明
点击查看答案
如果出现IT人员和最终用户职责分工的问题，下面哪个选项是合适的补偿性控制?
- A.限制物理访问计算机设备
- B.检查应用及事务处理日志
- C.在聘请IT人员之前进行背景检查
- D.在不活动的特定时间后，锁定用户会话
点击查看答案
下列生物识别设备，哪一项的交差错判率(CER)最高?
- A.虹膜识别设备
- B.手掌识别设备
- C.声音识别设备
- D.指纹识别设备
点击查看答案
以下信息安全原则，哪一项是错误的?
- A.实施最小授权原则
- B.假设外部系统是不安全的
- C.消除所有级别的信息安全风险
- D.最小化可信任的系统组件
点击查看答案
实施信息系统访问控制首先需要进行如下哪一项工作?
- A.信息系统资产分类
- B.信息系统资产标识
- C.创建访问控制列表
- D.梳理信息系统相关信息资产
点击查看答案
下列哪个选项是描述*-完整性公理的?
- A.Biba模型中不能向上写
- B.Biba模型中不能向下读
- C.BLP模型中不能向下写
- D.BLP模型中不能向上读
点击查看答案
为什么实现单点登录的批处理文件及脚本文件需要被保护存储?
- A.因为最小授权原则
- B.因为它们不可以被操作员访问到
- C.因为它们可能包含用户身份信息
- D.因为知所必须原则
点击查看答案
以下哪一个选项是从软件自身功能出发，进行威胁分析
- A.攻击面分析
- B.威胁建模
- C.架构设计
- D.详细设计
点击查看答案
某个机构的网络遭受多次入侵攻击，下面那一种技术可以提前检测到这种行为?
- A.杀毒软件
- B.包过滤路由器
- C.蜜罐
- D.服务器加固
点击查看答案
以下哪个不可以作为ISMS管理评审的输入
- A.ISMS审计和评审的结果
- B.来自利益伙伴的反馈
- C.某个信息安全项目的技术方案
- D.预防和纠正措施的状态
点击查看答案
下面哪个功能属于操作系统中的安全功能
- A.控制用户的作业排序和运行
- B.对计算机用户访问系统和资源情况进行记录
- C.保护系统程序和作业，禁止不合要求的对程序和数据的访问
- D.实现主机和外设的并行处理以及异常情况的处理
点击查看答案
在软件开发的需求定义阶段，在软件测试方面，以下哪一个选项被制定?
- A.覆盖关键应用的测试数据
- B.详细的安全测试计划
- C.质量保证测试标准
- D.用户验收测试标准
点击查看答案
下列哪个为我国计算机安全测评机构
- A.CNITSEC
- B.TCSEC
- C.FC
- D.CC
点击查看答案
DDoS攻击的主要目换是:
- A.破坏完整性和机密性
- B.破坏可用性
- C.破坏机密性和可用性
- D.破坏机密性
点击查看答案
Windows组策略适用于
- A.S
- B.D
- C.O
- D.S、D、OU
点击查看答案
下列哪一个是国家推荐标准
- A.GB/T18020-1999
- B.SJ/T30003-93
- C.ISO/IEC15408
- D.GA243-2000
点击查看答案
黑客造成的主要危害是
- A.破坏系统、窃取信息及伪造信息
- B.攻击系统、获取信息及假冒信息
- C.进入系统、损毁信息及谣传信息
- D.进入系统，获取信息及伪造信息
点击查看答案
下面哪一个不是对点击劫持的描述
- A.是一种恶意攻击技术，用于跟踪网络用户并获取私密信息
- B.通过让用户来点击看似正常的网页来远程控制其电脑
- C.可以用嵌入代码或文本的形式出现，在用户毫不知情的情况下完成攻击
- D.可以对方网络瘫痪
点击查看答案
下面哪一层可以实现编码，加密
- A.传输层
- B.会话层
- C.网络层
- D.物理层
点击查看答案
特洛伊木马攻击的危胁类型属于
- A.授权侵犯威胁
- B.植入威胁
- C.渗入威胁
- D.破坏威胁
点击查看答案
下面哪一个描术错误的
- A.TCP是面向连接可靠的传输控制协议
- B.UDP是无连接用户数据报协议
- C.UDP相比TCP的优点是速度快
- D.TCP/IP协议本身具有安全特性
点击查看答案
如果双方使用的密钥不同，从其中的一个密钥很难推出另外一个密钥，这样的系统称为
- A.常规加密系统
- B.单密钥加密系统
- C.公钥加密系统
- D.对称加密系统
点击查看答案
有关认证和认可的描述，以下不正确的是
- A.认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书)
- B.根据对象的不同，认证通常分为产品认证和体系认证
- C.认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认
- D.企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求
点击查看答案
以下哪个命令可以查看端口对应的PID
- A.netstat-ano
- B.ipconfig/all
- C.tracert
- D.netsh
点击查看答案
在数据链路层中MAC子层主要实现的功能是
- A.介质访问控制
- B.物理地址识别
- C.通信协议产生
- D.数据编码
点击查看答案
路由器工作在OSI的哪一层
- A.传输层
- B.数据链路层
- C.网络层
- D.应用层
点击查看答案
用于跟踪路由的命令是
- A.nestat
- B.regedit
- C.systeminfo
- D.tracert
点击查看答案
CA的核心职责是
- A.签发和管理证书
- B.审核用户真实信息
- C.发布黑名单
- D.建立实体链路安全
点击查看答案
以下只用于密钥交换的算法是
- A.RSA
- B.ECC
- C.DH
- D.RC4
点击查看答案
以下哪一个是ITU的数字证书标准
- A.SSL
- B.SHTTP
- C.x.509
- D.SOCKS
点击查看答案
在TCP中的六个控制位哪一个是用来请求结束会话的
- A.SYN
- B.ACK
- C.FIN
- D.RST
点击查看答案
在TCP中的六个控制位哪一个是用来请求同步的
- A.SYN
- B.ACK
- C.FIN
- D.RST
点击查看答案