CISP-注册信息安全专业人员考试-模拟题81-90题

81、[单选题]81、信息安全工程作为信息安全保障的重要组成部门，主要是为了解决：

A、信息系统的技术架构安全问题

B、信息系统组成部门的组件安全问题

C、信息系统生命周期的过程安全问题

D、信息系统运行维护的安全管理问题

答案：C

82、[单选题]82、有关系统安全工程-能力成熟度模型(SSE-CMM)中基本实施(Base Practice)正确的理解是：

A、BP不限定于特定的方法工具，不同业务背景中可以使用不同的方法

B、BP不是根据广泛的现有资料，实施和专家意见综合得出的

C、BP不代表信息安全工程领域的最佳实践

D、BP不是过程区域(Process Areas, PA )的强制项

答案：A

解析：BP属于安全工程的最小单元，其不限定于特定的方法工具，不同业务背景中可以使用不同的方法；是根据 广泛的现有资料，实施和专家意见综合得岀的；代表着信息安全工程领域的最佳实践；并且是过程区域(Process Areas, PA )的强制项。

83、[单选题]83、层次化的文档是信息安全管理体系Unformation Security Management System. ISMS))建设的直接体系，也ISMS 建设的成果之一，通常将TSMS的文档结构规划为4层金字塔结构，那么，以下选项()应放入到一级文件中.

A、《风险评估 告》

B、《人力资源安全管理规定》

D、《单位信息安全方针》

答案：D

解析：一级文件中一般为安全方针、策略文件；二级文件中一般为管理规范制度；三级文件一般为操作手册和流 程；四级文件一般表单和管理记录。

84、[单选题]84、信息安全管理体系(information Security Management System,简称ISMS)的实施和运行ISMS阶段，是ISMS 过程模型的实施阶段(Do),下面给出了一些备①制定风险处理计划②实施风险处理计划③开发有效性测量程序④ 实施培训和意识教育计划⑤管理ISMS的运行⑥管理ISMS的资源⑦执行检测事态和响应事件的程序⑧实施内部审 核⑨实施风险再评估选的活动，选项( )描述了在此阶段组织应进行的活动。

A、①②③④⑤⑥

B、①②③④⑤⑥⑦

C、①②③④⑤⑥⑦⑧

D、①②③④⑤⑥⑦⑧⑨

答案：B

解析：管理体系包括PDCA(Plan-Do-Check-Act)四个阶段，题干中1-7的工作都属于管理体系的实施阶段(D-Do), 而8和9属于检查阶段(C-Check)。

85、[单选题]85、在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价值的评估，以下选项中正确 的是( )

A、资产的价值指釆购费用

B、资产的价值指维护费用

C、资产的价值与其重要性密切相关

D、资产的价值无法估计

答案：C

86、[单选题]86、某软件公初准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点 中，正确的是( )

A、软件安全开发生命周期较长，而其中最重要的是要在软件的编码安全措施，就可以解决90%以上的安全问题。

B、应当尽早在软件开发的需求和设计阶段增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的 代价少得多。

C、和传统的软件开发阶段相比，微软提出的安全开发生命周期(SDL)最大特点是增加了一个专门的安全编码阶段。

D、软件的安全测试也很重要，考试到程序员的专业性，如果该开发人员已经对软件进行了安全性测试，就没有必 要再组织第三方进行安全性测试。

答案：B

解析：A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL最大的特点是增加了安全培训和应急响应。D- 第三方测试是必要的软件安全测试类型。

87、[单选题]87、某 站在设计对经过了威胁建模和攻击面分析，在开发时要求程序员编写安全的代码，但是在部署时由于管理员 将备份存放在WEB目录下导致了攻击者可直接下载备份，为了发现系统中是否存在其他类拟问题，一下那种测试 方式是最佳的测试方法。（ ）

A、模糊测试

B、源代码测试

C、渗透测试

D、软件功能测试

答案：C

88、[单选题]88、下面哪项属于软件开发安全方面的问题( )

A、软件部署时所需选用服务性能不高，导致软件执行效率低。

B、应用软件来考虑多线程技术，在对用户服务时按序排队提供服务

C、应用软件存在SQL注入漏洞，若被黑客利用能窃取数据库所用数据

D、软件受许可证(license)限制，不能在多台电脑上安装。

答案：C

解析：ABD与软件安全开发无关。

89、[单选题]89、为增强Web应用程序的安全性，某软件开发经理决定加强Web软件安全开发培训，下面哪项不在考虑范围内( )

A、关于 站身份签别技术方面安全知识的培训

B、针对OpenSSL心脏出血漏洞方面安全知识的培训

C、针对SQL注入漏洞的安全编程培训

D、关于ARM系统漏洞挖掘方面安全知识的培训

答案：D

解析：D属于ARM系统，不属于WEB安全领域。

90、[单选题]90、以下关于https协议http协议相比的优势说明，那个是正确的：

A、Https协议对传输的数据进行加密，可以避免嗅探等攻击行为

B、Https使用的端口 http不同，让攻击者不容易找到端口，具有较高的安全性

C、Https协议是http协议的补充，不能独立运行，因此需要更高的系统性能

D、Https协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的 答案:A

解析：HTTPS具有数据加密机制。