對于在備考CISP認證考試的考生而言，多做試題會很有幫助，很多知識點都會從習題中總結出來，所以考生的試題訓練量需要很多。CISP考試內容是100個單項選擇題，70分及以上算通過。下面是有關CISP認證考試試題內容，希望可以幫到各位。

31. 關于linux下的用戶和組，以下描述不正確的是 。

A．在 linux 中，每一個文件和程序都歸屬于一個特定的“用戶”

B．系統中的每一個用戶都必須至少屬于一個用戶組

C. 用戶和組的關系可是多對一，一個組可以有多個用戶，一個用戶不能屬于多個組

D．root是系統的超級用戶，無論是否文件和程序的所有者都具有訪問權限

32. 安全的運行環境是軟件安全的基礎，操作系統安全配置是確保運行環境安全必不可少的工作，某管理員對即將上線的Windows操作系統進行了以下四項安全部署工作，其中哪項設置不利于提高運行環境安全？

A．操作系統安裝完成后安裝最新的安全補丁，確保操作系統不存在可被利用的安全漏洞

B.為了方便進行數據備份，安裝 Windows 操作系統時只使用一個分區C，所有數據和操作系統都存放在C盤

C．操作系統上部署防病毒軟件，以對抗病毒的威脅

D．將默認的管理員賬號Administrator改名，降低口令暴力破解攻擊的發生可能

33. 在數據庫安全性控制中，授權的數據對象，授權子系統就越靈活？

A．粒度越小B．約束越細致C．范圍越大D．約束范圍大

34. 下列哪一些對信息安全漏洞的描述是錯誤的？

A．漏洞是存在于信息系統的某種缺陷。

B．漏洞存在于一定的環境中，寄生在一定的客體上(如TOE中、過程中等)。

C．具有可利用性和違規性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統安全帶來 威脅和損失。

D．漏洞都是人為故意引入的一種信息系統的弱點

35. 賬號鎖定策略中對超過一定次數的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊？

A．分布式拒絕服務攻擊(DDoS)

B．病毒傳染

C. 口令暴力破解

D．緩沖區溢出攻擊

36. 以下哪個不是導致地址解析協議(ARP)欺騙的根源之一？

A．ARP協議是一個無狀態的協議

B．為提高效率，ARP信息在系統中會緩存

C．ARP緩存是動態的，可被改寫

D．ARP協議是用于尋址的一個重要協議

37. 張三將微信個人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發送一些 欺騙消息。該攻擊行為屬于以下哪類攻擊？

A．口令攻擊

B．暴力破解

C．拒絕服務攻擊

D．社會工程學攻擊

38. 關于軟件安全開發生命周期(SDL)，下面說法錯誤的是：

A．在軟件開發的各個周期都要考慮安全因素

B．軟件安全開發生命周期要綜合采用技術、管理和工程等手段

C．測試階段是發現并改正軟件安全漏洞的最佳環節，過早或過晚檢測修改漏洞都將增大軟件開發成本

D．在設計階段就盡可能發現并改正安全隱患，將極大減少整個軟件開發成本

39. 在軟件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，規定了軟件開發過程中的核心業務功能， 下列哪個選項不屬于核心業務功能：

A．治理，主要是管理軟件開發的過程和活動

B. 構造，主要是在開發項目中確定目標并開發軟件的過程與活動

C．驗證，主要是測試和驗證軟件的過程與活動

D. 購置，主要是購買第三方商業軟件或者采用開源組件的相關管理過程與活動

40. 從系統工程的角度來處理信息安全問題，以下說法錯誤的是：

A．系統安全工程旨在了解企業存在的安全風險，建立一組平衡的安全需求，融合各種工程學科的努力將此安全 需求轉換為貫穿系統整個生存期的工程實施指南。

B．系統安全工程需對安全機制的正確性和有效性做出詮釋，證明安全系統的信任度能夠達到企業的要求，或系 統遺留的安全薄弱性在可容許范圍之內。

C．系統安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用面向開發的方法。

D．系統安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎上，通過對安全工作過程進行 管理的途徑，將系統安全工程轉變為一個完好定義的、成熟的、可測量的先進學科。

41. 有關系統安全工程-能力成熟度模型(SSE-CMM)中的基本實施(Base Practices，BP)，正確的理解是：

A．BP 是基于最新技術而制定的安全參數基本配置

B．大部分 BP 是沒有經過測試的

C. 一項 BP 適用于組織的生存周期而非僅適用于工程的某一特定階段

D．一項 BP 可以和其他 BP 有重疊

42. 以下哪一種判斷信息系統是否安全的方式是最合理的？

A．是否己經通過部署安全控制措施消滅了風險

B．是否可以抵抗大部分風險

C．是否建立了具有自適應能力的信息安全模型

D. 是否已經將風險控制在可接受的范圍內

43. 以下關于信息安全法治建設的意義，說法錯誤的是：

A．信息安全法律環境是信息安全保障體系中的必要環節

B．明確違反信息安全的行為，并對行為進行相應的處罰，以打擊信息安全犯罪活動

C．信息安全主要是技術問題，技術漏洞是信息犯罪的根源

D．信息安全產業的逐漸形成，需要成熟的技術標準和完善的技術體系

44. 小張是信息安全風險管理方面的希賽網，被某單位邀請過去對其核心機房經受某種災害的風險進行評估，已知：核心機房的總價價值一百萬，災害將導致資產總價值損失二成四(24%)，歷史數據統計告知該災害發生的可能性為八年發生三次，請問小張最后得到的年度預期損失為多少：

A．24萬

B．0.09萬

C．37.5萬

D．9萬

45. 2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳 統手寫簽名和蓋章具有同等的法律效力。以下關于電子簽名說法錯誤的是：

A．電子簽名——是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據

B．電子簽名適用于民事活動中的合同或者其他文件、單證等文書

C．電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務

D．電子簽名制作數據用于電子簽名時，屬于電子簽名人和電子認證服務提供者共有

注：以上內容來源于網絡，如有侵權請聯系客服刪除！