在当今这个日新月异的数字化浪潮中，信息安全已跃升至前所未有的战略高度，其重要性随着科技的飞速发展而日益凸显，成为了一个亟待重视并深入探索的关键领域。为激发并引领青年才俊投身于网络安全这一崇高且充满挑战的领域，我们匠心独运，编纂了一套全面的CISP（注册信息安全专业人员）备考模拟试题集，精选了20道高质量题目，旨在精准对接信息安全领域的核心知识体系与最新技术趋势。

CISP模拟练习题6：

1. 下面关于信息系统安全保障的说法不正确的是
   B.信息系统安全保障要素包括信息的完整性、可用性和保密性
   答案(b)答题解析： 信息系统安全保障要素为技术、工程、管理和人员四个领域。信息系统安全保障的安全特征是完整、保密和可用性。

2. 在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时，正确的理解是
   D.测量单位是公共特征(Common Features，CF)
   答案(d) 答题解析：测量单位是公共特征。

3. 下面关于信息系统安全保障模型的说法不正确的是
   D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入。
   答案(d) 答题解析： 单位对信息系统运行维护和使用的人员在能力和培训方面需要投入。

4. 层次化的文档是信息安全管理体系《Information Security Management System.ISMS》建设的直接体系，也是 ISMS 建设的成果之一，通常将 ISMS 的文档结构规划为 4 层金字塔结构，那么，以下选项（）应放入到一级文件中
   D.《单位信息安全方针》
   答案(d)答题解析：正确答案为 D。一级文件中一般为安全方针、策略文件；二级文件中一般为管理规范制度；三级文件一般为操作手册和流程；四级文件一般表单和管理记录。

5. 信息安全管理体系（information Security Management System.简称 ISMS）的实施和运行 ISMS 阶段，是 ISMS 过程模型的实施阶段（Do），下面给出了一些活动 ①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教 育计划⑤管理 ISMS 的运行⑥管理 ISMS 的资源⑦执行检测事态和响应事件的程序⑧ 实施内部审核⑨实施风险再评估选的活动，选项（）描述了在此阶段组织应进行的活动
   B.①②③④⑤⑥⑦
   答案(b)答题解析：管理体系包括 PDCA（Plan-Do-Check-Act）四个阶段，题干中 1-7 的工作都属于管理体系的实施阶段（D-Do），而 8 和 9 属于检查阶段（C-Check）。

6. 为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工作所需要的一系列标准，这些标准可以按照等级保护工作的工作阶段大致分类。下面 四个标准中，（）规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
   B.GB／T 22240-2008《信息系统安全保护等级定级指南》
   答案(b)答题解析：答案为 B。

7. 某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是
   C.指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题
   答案©答题解析：指纹识别系统存在安全威胁问题，同时存在着错误拒绝率和错误接受率的问题。

8. 以下哪一项不是信息安全管理工作必须遵循的原则
   C.由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较
   低
   答案© 答题解析：安全措施投入应越早则成本越低，C 答案则成本会上升。

9. 《信息安全技术 信息安全风险评估规范》（GB／T 20984-2007）中关于信息系统生命周期各阶段的风险评估描述不正确的是
   D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种非常全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面
   答案(d) 答题解析：该题目来源于《信息安全技术 信息安全风险评估规范》（GB／T 20984-2007），其原文描述 D 为“是一种较为全面的风险评估”。

10. 为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征
    D.可以让系统的所有用户方便的读取
    答案(d)答题解析：日志只有授权用户可以读取。

11. 关于信息安全事件管理和应急响应，以下说法错误的是
    B.应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪 6 个阶段
    答案(b)答题解析：应急响应的六个阶段是准备、检测、遏制、根除、恢复、跟踪总结。

12. 某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?
    A.渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏
    洞
    答案(a) 答题解析：渗透测试是模拟攻击的黑盒测试，有利于发现系统明显的问题。

13. 软件安全设计和开发中应考虑用户隐私包，以下关于用户隐私保护的说法哪个是错误的?
    C.用户提交的用户名和密码属于隐私数据，其它都不是
    答案© 答题解析：个人隐私包括但不限于用户名密码、位置、行为习惯等信息

14. 某公司已有漏洞扫描和入侵检测系统(Intrusion Detection System，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是
    D.选购一款同已有安全产品联动的防火墙
    答案(d) 答题解析：在技术条件允许情况下，可以实现 IDS 和 FW 的联动

15. 在 OSI 参考模型中有 7 个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务。
    A.网络层
    答案(a) 答题解析：网络层和应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务

16. 安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的 Windows 操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全
    B.为了方便进行数据备份，安装 Windows 操作系统时只使用一个分区 C，所有数据和
    操作系统都存放在 C 盘
    答案(b) 答题解析：操作系统和应用安全装应分开不同磁盘部署。

17. 在数据库安全性控制中，授权的数据对象（ ），授权子系统就越灵活
    A.粒度越小
    答案(a) 答题解析：数据粒度越细则授权策略越灵活便利。

18. 以下哪一种判断信息系统是否安全的方式是最合理的
    D.是否已经将风险控制在可接受的范围内
    答案(d) 答题解析：判断风险控制的标准是风险是否控制在接受范围内。

19. 以下关于信息安全法治建设的意义，说法错误的是
    C.信息安全主要是技术问题，技术漏洞是信息犯罪的根源
    答案©答题解析：信息安全问题是多方面存在的，不能认为主要为技术问题，同时技术漏洞不是犯罪的根源所在。

20. 以下哪一项是数据完整性得到保护的例子（ ）
    B.在提款过程中 ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作（冲正交易，是对一笔交易的反向操作，是指我们在进行转账、取现、交易时，没有操作成功，但却被扣了钱，银行所采取的一种补救手段。）
    答案(b) 答题解析：本题中 A 为可用性，B 为完整性，C 是抗抵赖，D 是保密性。冲正是完整性纠正措施，是Clark-Wilson 模型的应用，解决数据变化过程的完整性。

另外还有白皮书和上面题库文档版本可找我拿，无偿！