CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務(wù)連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了cisp試題及答案，具體內(nèi)容如下：

單項選擇題

1、在下列哪一項訪問控制技術(shù)中，數(shù)據(jù)庫基于數(shù)據(jù)的敏感性來決定誰能夠訪問數(shù)據(jù)？（）

A、基于色訪問控制

B、基于內(nèi)容訪問控制

C、基于上下文訪問控制

D、自主訪問控制

答案：B

2、下列哪一項最準確地描述了定量風險分析？（）

A、通過基于場景的分析方法來研究不同的安全威脅

B、一種將潛在的損失以及進行嚴格分級的分析方法

C、在風險分析時，將貨幣價值賦給信息資產(chǎn)

D、一種基于主觀判斷的風險分析方法

答案：C

3、在Kerberos結(jié)構(gòu)中，下列哪一項會引起單點故障？（）

A、E-Mail服務(wù)器

B、客戶工作站

C、應(yīng)用服務(wù)器

D、密鑰分發(fā)中心（KDC）

答案：D

4、為什么一個公司內(nèi)部的風險評估團隊應(yīng)該由自不同部門的人員組成？（）

A、確保風險評估過程是公平的

B、因為風險正是由于這些來自不同部門的人員所引起的，因此他們應(yīng)該承擔風險評估的職責

C、因為不同部門的人員對本部]所面臨的風險最清楚，由此進行的風險評估也最接近于實際情況

D、風險評估團隊不應(yīng)該由來自不同部門的人員組成，而應(yīng)該由一個來自公司外部的小型團隊組成

答案：C

5、下列種方法最能夠滿足雙因子認證的需求？

A、智能卡和用戶PIN

B、戶ID與密碼

C、虹膜掃描和指紋掃描

D、磁卡和用戶PIN

答案：A

6、下列哪一項準確定義了安全基線？（）

A、指明應(yīng)該做什么和不應(yīng)該做什么的規(guī)定

B、最低水平的安全需求

C、安全措施的操作手冊

D、安全建議

答案：B

7、某單位在評估生物識別系統(tǒng)時，對安全性提出了非常高的要求。據(jù)此判斷，下列哪項技術(shù)指標對于該單位來說是最重要的。（）

A、錯誤接收率（FAR）

B、平均錯誤率（EER）

C、錯誤拒絕率（FRR）

D、錯誤識別率（FIR）

答案：A

8、組織在實施與維護信息安全的流程中，下列哪一項不吁高級管理層的職責？（）

A、明確的支持

B、執(zhí)行風險分析

C、定義目標和范圍

D、職責定義與授權(quán)

答案：B

9、在對生物識別技術(shù)中的錯誤拒絕率（FRR）和錯誤接收率（FAR）的定義中，下列哪一項的描述是最準確的？（）

A、FAR屬于類型I錯誤，F(xiàn)RR屬于類型II錯誤

B、FAR是指授權(quán)用戶被錯誤拒絕的比例，F(xiàn)RR隱屬于類型I錯誤

C、FRR于類型I錯誤，F(xiàn)AR是指冒充者被拒絕的次數(shù)

D、FRR是指授權(quán)用戶被錯誤拒絕的比率，F(xiàn)AR屬于類型II錯誤

答案：D

10、實施安全程序能夠加強下列所有選項，除了（）

A、數(shù)據(jù)完整性

B、安全意識教育

C、數(shù)據(jù)準確性

D、保護資產(chǎn)

答案：C

11、訪訶控制模型應(yīng)遵循下列哪一項邏輯流程？（）

A、識別，授權(quán)，認證

B、授權(quán)，識別，認證

C、識別，認證，授權(quán)

D、認證，識別，授權(quán)

答案：C

12、下列哪一項準確地描述了標準、基線、指南和規(guī)程的定義？（）

A、標準是完成某項任務(wù)的詳細步驟，規(guī)程是建議性的操作指導

B、基線是強制性的規(guī)定，指南是建議性的操作指導

C、標準是強制性的規(guī)定，規(guī)程完成某項任務(wù)的詳細步驟

D、規(guī)程是建議性的操作指導，基線是必須具備的最低安全水平

答案：C

13、下列哪種類型的DS能夠監(jiān)控網(wǎng)絡(luò)流量中的行為特征，并能夠創(chuàng)建新的數(shù)據(jù)庫？（）

A、基于特征的IDS

B、基于神經(jīng)網(wǎng)絡(luò)的IDS

C、基于統(tǒng)計的IDS

D、基于主機的IDS

答案：E

14、剩余風險應(yīng)該如何計算？

A、威脅X風險X資產(chǎn)價值

B、（威脅X資產(chǎn)價值X脆弱性）X風險

C、單次損失值X頻率

D、（威脅X脆弱性X資產(chǎn)價值）X控制空隙

答案：D

15、下列哪項能夠被用來檢測過去沒有被識別過的新型攻擊？（）

A、基于特征的IDS

B、基于知識的IDS

C、基于行為的IDS

D、希賽網(wǎng)系統(tǒng)

答案：C

16、下列哪一項準確地定義了風險評估中的三個基本步驟？（）

A、（1）識別風險：（2）評估風險：（9）消減風險。

B、（1）資產(chǎn)賦值：（2）風險分析：（3）防護措施。

C、（1）資產(chǎn)賦值：（2）識別風險：（3）評估風險。

D、（1）識別風險：（2）資產(chǎn)賦值：（3）消減風險。

答案：B

17、TACACS+協(xié)議提供了下列哪一種訪問控制機制？（）

A、強制訪問控制

B、自主訪問控制

C、分布式訪問控制

D、集中式訪問控制

答案：D

18、對于在風險評估過程中發(fā)現(xiàn)的風險，下列哪一項不是適當?shù)娘L險處置措施？（）

A、消減風險

B、接受風險

C、忽略風險

D、轉(zhuǎn)移風險

答案：C

19、在對消息的發(fā)送者進行認證時，下列哪一項安全機制是最可靠的？（）

A、數(shù)字簽名

B、非對稱加密算法

C、數(shù)字證書

D、消息認證碼

答案：C

20、公司正在對一臺關(guān)鍵業(yè)務(wù)服務(wù)器進行風險評估：該服務(wù)器價值13800元，針對某個特定威脅的暴露因子（EF）是45%，該威脅的年度發(fā)生率（ARO）為海10年發(fā)生1次。根據(jù)以上信息，該服務(wù)器的年度預(yù)期損失值（AlE）多少？（）

A、1800元

B、62100元

C、140000元

D、6210元

答案：D

注：以上試題來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除。