CISP备考题库

在当今这个日新月异的数字化时代，信息安全已跃升至前所未有的战略高度，其重要性不言而喻。为了助力有志青年踏上网络安全专家的征途，我们特别编纂了一套涵盖全面的20道CISP（注册信息安全专业人员）模拟试题集。此套试题不仅广泛涉猎了信息安全领域的核心知识点，还精准模拟了实际考试中的难度梯度与题型风格，力求为考生营造一个贴近实战的备考环境。

通过深入解析与练习这些精心设计的题目，您不仅能够巩固并检验自己在信息安全理论上的理解深度，还能有效提升解决实际安全问题的能力与技巧，为您顺利通过CISP认证考试铺设坚实的基石。这不仅是一场知识的挑战，更是向专业网络安全领域迈进的坚实步伐。

CISP考试题型为单项选择题。
CISP考试的形式为线下纸质试卷考试，官方考试计划是一个月一次，考试时长两小时，共100道单选题，满分100分，70分及以上为通过，有2次免费补考的机会，考试题目都是比较基础的知识点。

CISP认证知识体系结构共包含五个知识类:信息安全保障概述、信息安全技术、信息安全管理、信息安全工程、信息安全标准法规。一下为备考题目：

1. 以下关于直接附加存储(Direct Attached Storage，DAS)说法错误的是
   A.DAS 能够在服务器物理位置比较分散的情况下实现大容量存储．是一种常用的数据 存储方法
   B.DAS 实现了操作系统与数据的分离，存取性能较高并且实施简单
   C.DAS 的缺点在于对服务器依赖性强，当服务器发生故障时，连接在服务器上的存储 设备中的数据不能被存取
   D.较网络附加存储(Network Attached Storage，NAS)，DAS 节省硬盘空间，数据 非常集中，便于对数据进行管理和备份
   答案(d) 答题解析： NAS 优点数据集中、节约空间，缺点是占用网络带宽、存储中心存在单点故障。DAS 优点数据分散、风险分散，缺点是存储空间利用率低、不便于统一管理。SAN 基于 NAS 的进一步实现，基于高速网络、多备份中心来进行实现。

2. 以下对异地备份中心的理解最准确的是
   A.与生产中心不在同一城市
   B.与生产中心距离 100 公里以上
   C.与生产中心距离 200 公里以上
   D.与生产中心面临相同区域性风险的机率很小
   答案(d)答题解析： 答案为 D，建立异地备份中心的核心思想是减少相同区域性风险。

3. 作为业务持续性计划的一部分，在进行业务影响分析(BIA)时的步骤是:1．标识关键
   的业务过程;2．开发恢复优先级;3．标识关键的 IT 资源;4．表示中断影响和允许的中
   断时间
   A.１-3-4-2
   B.１-3-2-4
   C.1-2-3-4
   D.１-4-3-2
   答案(a) 答题解析： 根据 BCM 的分析过程顺序为 A。

4. 信息系统安全工程(ISMS)的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因
   素，在 IT 项目的立项阶段，以下哪一项不是必须进行的工作
   A.明确业务对信息安全的要求
   B.识别来自法律法规的安全要求
   C.论证安全要求是否正确完整
   D.通过测试证明系统的功能和性能可以满足安全要求
   答案(d) 答题解析： D 属于项目的验收阶段，不属于 IT 项目的立项阶段，题干属于立项阶段。

5. 为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工
   作所需要的一系列标准，这些标准可以按照等级保护工作的工作阶段大致分类。下面
   四个标准中，（）规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等
   内容。
   A.GB／T 20271-2006《信息系统通用安全技术要求》
   B.GB／T 22240-2008《信息系统安全保护等级定级指南》
   C.GB／T 25070-2010《信息系统等级保护安全设计技术要求》
   D.GB／T 20269-2006《信息系统安全管理要求》
   答案(b) 答题解析： 答案为 B。

6. 在以下标准中，属于推荐性国家标准的是
   A.GB/T XXXX.X-200X
   B.GB XXXX-200X
   C.DBXX/T XXX-200X
   D.GB/Z XXX-XXX-200X
   答案(a) 答题解析： A 为国标推荐标准；B 为国标强制标准；C 为地方标准；D 为国标指导标准

7. 以下哪一项在防止数据介质被滥用时是不推荐使用的方法
   A.禁用主机的 CD 驱动、USB 接口等 I／O 设备
   B.对不再使用的硬盘进行严格的数据清除
   C.将不再使用的纸质文件用碎纸机粉碎
   D.用快速格式化删除存储介质中的保密文件
   答案(d)答题解析：快速格式化删除存储介质中的保密文件不能防止信息泄露。快速格式化只
   是删除了文件索引，并没有真正的删除文件，可以通过工具进行恢复。)

8. 为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征
   A.统一而精确地的时间
   B.全面覆盖系统资产
   C.包括访问源、访问目标和访问活动等重要信息
   D.可以让系统的所有用户方便的读取
   答案(d) 答题解析： 日志只有授权用户可以读取。

9. 以下哪一项不属于信息安全工程监理模型的组成部分
   A.监理咨询支撑要素
   B.控制和管理手段
   C.监理咨询阶段过程
   D.监理组织安全实施
   答案(d) 答题解析： 信息安全工程监理的信息安全工程监理模型由三部分组成，即咨询监理支撑要素（组 织结构、设施设备、安全保障知识、质量管理）、监理咨询阶段过程和控制管理措施 （“三控制、两管理、一协调”，即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调）

10. 在某网络机房建设项目中，在施工前，以下哪一项不属于监理需要审核的内容
    A.审核实施投资计划
    B.审核实施进度计划
    C.审核工程实施人员
    D.企业资质
    答案(a) 答题解析： 监理从项目招标开始到项目的验收结束，在投资计划阶段没有监理

11. 下列哪一种方法属于基于实体“所有”鉴别方法
    A.用户通过自己设置的口令登录系统，完成身份鉴别
    B.用户使用个人指纹，通过指纹识别系统的身份鉴别
    C.用户利用和系统协商的秘密函数，对系统发送挑战进行正确应答，通过身份鉴别
    D.用户使用集成电路卡(如智能卡)完成身份鉴别
    答案(d) 答题解析： 实体所有鉴别包括身份证、IC 卡、钥匙、USB-Key 等

12. 软件安全设计和开发中应考虑用户隐私包，以下关于用户隐私保护的说法哪个是错
    误的?
    A.告诉用户需要收集什么数据及搜集到的数据会如何被使用
    B.当用户的数据由于某种原因要被使用时，给用户选择是否允许
    C.用户提交的用户名和密码属于隐私数据，其它都不是
    D.确保数据的使用符合国家、地方、行业的相关法律法规
    答案© 答题解析： 个人隐私包括但不限于用户名密码、位置、行为习惯等信息

13. 主体 S 对客体 01 有读®权限，对客体 02 有读®、写(W)、拥有(Own)权限，该
    访问控制实现方法是：
    A.访问控制表(ACL)
    B.访问控制矩阵
    C.能力表(CL)
    D.前缀表(Profiles)
    答案(A) 答题解析：定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。)

14. 在 ISO 的 OSI 安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务
    A.加密
    B.数字签名
    C.访问控制
    D.路由控制
    答案(b) 答题解析： 数字签名可以提供抗抵赖、鉴别和完整性。

15. 在 OSI 参考模型中有 7 个层次，提供了相应的安全服务来加强信息系统的安全性，
    以下哪一层提供了保密性、身份鉴别、数据完整性服务。
    A.网络层
    B.表示层
    C.会话层
    D.物理层
    答案(a) 答题解析： 网络层和应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务

16. 以下关于 PGP(Pretty Good Privacy)软件叙述错误的是
    A.PGP 可以实现对邮件的加密、签名和认证
    B.PGP 可以实现数据压缩
    C.PGP 可以对邮件进行分段和重组
    D.PGP 采用 SHA 算法加密邮件
    答案(d) 答题解析： SHA 不提供加密，SHA 是摘要算法提供数据完整性校验

17. 某公司系统管理员最近正在部署一台 Web 服务器，使用的操作系统是 windows，
    在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其
    中能有效应对攻击者获得系统权限后对日志进行修改的策略是
    A.网络中单独部署 syslog 服务器，将 Web 服务器的日志自动发送并存储到该 syslog
    日志服务器中
    B.严格设置 Web 日志权限，只有系统权限才能进行读和写等操作
    C.对日志属性进行调整，加大日志文件大小、延长覆盖时间、设置记录更多信息等
    D.使用独立的分区用于存储日志，并且保留足够大的日志空间
    答案(a) 答题解析： 在多重备份存储情况下，可以防护日志被篡改的攻击（前提非实时同步）。

18. 下列哪一些对信息安全漏洞的描述是错误的
    A.漏洞是存在于信息系统的某种缺陷
    B.漏洞存在于一定的环境中，寄生在一定的客体上(如 TOE 中、过程中等)
    C.具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，
    从而给信息系统安全带来威胁和损失
    D.漏洞都是人为故意引入的一种信息系统的弱点
    答案(d) 答题解析： 漏洞是人为故意或非故意引入的弱点

19. 在软件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，规定
    了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能
    A.治理，主要是管理软件开发的过程和活动
    B.构造，主要是在开发项目中确定目标并开发软件的过程与活动
    C.验证，主要是测试和验证软件的过程与活动
    D.购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
    答案(d) 答题解析： SAMM 模型四个部分是治理、构造、验证和部署

20.风险管理的监控与审查不包含
A.过程质量管理 ![请添加图片描述](https://i-blog.csdnimg.cn/direct/abbcc823c0db4d1d81cf3ab04b734c18.png
B.成本效益管理
C.跟踪系统自身或所处环境的变化
D.协调内外部组织机构风险管理活动
答案(d) 答题解析： D 答案属于沟通咨询工作，ABC 属于风险管理的监控审查工作。风险管理过程包括背 景建立、风险评估、风险处理、批准监督，以及沟通咨询和监控审查。

另外还有白皮书和上面题库文档版本可找我拿，无偿！