模拟题1-答案

注册信息安全专业人员资质认证考试（CISP）

B. 许多数据库系统在操作系统下以文件形式进行管理，因此利用操作系统漏洞可以窃取数据库文件

C. 为了防止数据库中的信息被盗取，在操作系统层次对文件进行加密是唯一从根本上解决问题的手段

D. 数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护

答案：C

44. 从安全的角度来看，数据库视图（view）的主要用途是：

A. 确保相关完整性 B. 方便访问数据

C. 限制用户对数据的访问. D. 提供审计跟踪

答案：C

45. 下面关于IIS报错信息含义的描述正确的是？

A. B. C. D. 答案：B

46. 下列哪种病毒能对计算机硬件产生破坏？

A．CIH B．CODE RED C．维金

D．熊猫烧香 答案：A

47. 下列对于蠕虫病毒的描述错误的是：

A.蠕虫的传播无需用户操作

B.蠕虫会消耗内存或网络带宽，导致DOS

C.蠕虫的传播需要通过“宿主”程序或文件

D.蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成 答案：C

48. 为了防止电子邮件中的恶意代码，应该用 方式阅读电子邮件。

A．纯文本 B．网页 C．程序 D．会话

页码：9

401—找不到文件 403—禁止访问 404—权限问题 500—系统错误

注册信息安全专业人员资质认证考试（CISP）

答案：A

49. 为了应对日益严重的垃圾邮件问题，人们设计和应用了各种垃圾邮件过滤机制，以下

哪一项是耗费计算资源最多的一种垃圾邮件过滤机制： A. SMTP身份认证 B. 逆向名字解析 C. 黑名单过滤 D. 内容过滤

答案：D

50. 无论是哪一种web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系统

安全漏洞属于： A. 设计型漏洞 B. 开发型漏洞 C. 运行型漏洞 D. 以上都不是 答案：A

51. 基于攻击方式可以将黑客攻击分为主动攻击和被动攻击，下列哪一项不属于主动攻

击？ A. 中断 B. 篡改 C. 侦听 D. 伪造 答案：C

52. 关于数据库注入攻击的说法错误的是：

A．它的主要原因是程序对用户的输入缺乏过滤 B．一般情况下防火墙对它无法防范

C．对它进行防范时要关注操作系统的版本和安全补丁 D．注入成功后可以获取部分权限

答案：C

53. 下列哪一项是DOS攻击的一个实例？

A. SQL注入 B. IP Spoof C. Smurf攻击 D. 字典破解 答案：C

页码：10

注册信息安全专业人员资质认证考试（CISP）

54. 下列哪一项不是安全编程的原则：

A. 尽可能使用高级语言进行编程 B. 尽可能让程序只实现需要的功能

C. 不要信任用户输入的数据

D. 尽可能考虑到意外的情况，并设计妥善的处理方法 答案：A

55. 下面哪一项不属于微软SDL的七个阶段之一？

A.培训 B.需求 C.销售 D.验证 答案：C

56. 下列对于Rootkit技术的解释不准确的是：

A. Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具 B. Rootkit是一种危害大、传播范围广的蠕虫 C. Rootkit和系统底层技术结合十分紧密

D. Rootkit的工作机制是定位和修改系统的特定数据，改变系统的正常操作流程 答案：B

57. 下列对跨站脚本攻击（XSS）的解释最准确的一项是：

A. 引诱用户点击虚假网络链接的一种攻击方法

B. 构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 C. 一种很强大的木马攻击手段

D. 将恶意代码嵌入到用户浏览的web网页中，从而达到恶意的目的 答案：D

58. 以下哪一项是防范SQL注入攻击最有效的手段？

A. 删除存在注入点的网页

B. 对数据库系统的管理权限进行严格的控制

C. 通过网络防火墙严格限制Internet用户对web服务器的访问 D. 对web用户输入的数据进行严格的过滤 答案：D

59. 下列哪一项是常见web站点脆弱性扫描工具：

A. AppScan B. Nmap C. Sniffer D. LC

页码：11

注册信息安全专业人员资质认证考试（CISP）

答案：A

60. 下列哪一项是黑客用来实施DDOS攻击的工具：

A. LC5 B. Rootkit C.IceSword D. Trinoo 答案：D

61. 风险分析的目标是达到：

A、风险影响和保护性措施之间的价值平衡 B、风险影响和保护性措施之间的操作平衡 C、风险影响和保护性措施之间的技术平衡 D、风险影响和保护性措施之间的逻辑平衡 答案：A

62. 对于信息系统访问控制说法错误的是?

A. 应该根据业务需求和安全要求制定清晰的访问控制策略，并根据需要进行评审和改进

B. 网络访问控制是访问控制的重中之重，网络访问控制做好了操作系统和应用层次的访问控制问题就可以得到解决

C. 做好访问控制工作不仅要对用户的访问活动进行严格管理，还要明确用户在访问控制中的有关责任

D. 移动计算和远程工作技术的广泛应用给访问控制带来了新的问题，因此在访问控制工作中要重点考虑对移动计算设备和远程工作用户的控制措施 答案：B

63. 下列哪一项较好地描述了组织机构的安全策略？

A. B. C. D. 答案：C

64. 资产管理是信息安全管理的重要内容，而清楚的识别信息系统相关的资产，并编制资

产清单是资产管理的重要步骤，下面关于资产清单的说法错误的是：

A. 资产清单的编制是风险管理的一个重要的先决条件

B. 信息安全管理中所涉及的资产是指信息资产，即业务数据、合同协议、培训材料等

定义了访问控制需求的总体指导方针 建议了如何符合标准

表明管理者意图的高层陈述

表明所使用的特定技术控制措施的高层陈述

页码：12