CISP題庫實際上不對外公開，目前對外公開的試題資料基本是模擬試題或者說是各大機構整理的備考資料。真正的考題需要考生通過報考機構獲取。此次整理的CISP2021年模擬考題(21)暫無答案，請考生悉知！

101.以下關于 Web 傳輸協議、服務端和客戶端軟件的安全問題說法不正確的是()

A.HTTP 協議主要存在明文傳輸數據、弱驗性和缺乏狀態跟蹤等方面的安全問題

B.HTTP 協議缺乏有效的安全機制，易導致拒絕服務、電子欺騙、嗅探等攻擊

C.Cookie 是為了辨別用戶身份，進行會話跟蹤而存儲在用戶本地終端上的數據，用戶可以隨意查看儲存在 Cookie 中的數據，但其中的內容不能被修改

D.針對 HTTP 協議存在的安全問題，使用 HTTP 具有較高的安全性，可以通過證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密

102.常見的訪問控制模型包括自主訪問控制模型、強制訪問控制模型和基于角色的訪問控制模型等，下面描述中錯誤的是()

A.從安全性等級來看，這三個模型安全性從低到高的排序是自主訪問控制模型，強制訪問控制模型和基于角色的訪問控制模型

B.自主訪問控制是一種廣泛應用的方法，資源的所有者(往往也是創建者)可以規定誰有權利訪問他們的資源，具有較好的易用性和可擴展性

C.強制訪問控制模型要求主體和客體都有一個固定的安全屬性，系統用該安全屬性來決定一個主體是否可以訪問某個客體，該模型具有一定的抗惡意程序攻擊能力，適用于專用或安全性要求較高的系統

D.基于角色的訪問控制模型的基本思想是根據用戶所擔任的角色來決定用戶在系統中的訪問權限， 該模型便于實施授權管理和安全約束，容易實現最小特權，職責分離等各種安全策略

103.若一個組織聲稱自己的 ISMS 符合 ISO/IEC 27001 成 GB/T22080 標準要求，其信息安全控制措施通常需要在符合性方面實施常規控制，符合性常規控制這一領域不包括以下哪項控制目標()

A.符合法律要求

B.符合安全策略和標準以及技術符合性

C.信息系統審核考慮

D.訪問控制的業務要求，用戶訪問管理

104.以下關于 Windows 操作系統身份標識與鑒別，說法不正確的是()

A 本地安全授權機構(LSA)生成用戶帳戶在該系統內安全標識符(SID)

B 用戶對鑒別信息的操作，如更改密碼等都通過一個以 Administrator 權限運行的服務“Security Accounts Manager”來實現

C Windows 操作系統遠程登錄經歷了 SMB 鑒別機制、LM 鑒別機制、Kerberos 鑒別體系等階段

D 完整的安全標識符(SID)包括用戶和組的安全描述，48 比特的身份特權、修訂版本和可變的驗證值

解釋：SYSTEM 權限最大用戶修改

105.若一個組織聲稱自己的 ISMS 符合 ISO/IBC 27001 或 GB/T22080 標準要求，其信息安全控制措施通常在以下方面實施常規控制，資產管理包含對資產負責和信息分類兩個控制目標，對資產負責的控制目標是實現和保護對組織資產的適當保護，這一控制目標的實現由以下控制措施的落實來保障，不包括哪一項()

A.資產清單

B.資產負責人

C.資產的可接受使用

D.分類指南、信息的標記和處理

注：以上試題資源來源于網絡，如有侵權，請聯系刪除。