CISP 4.2版2023 注册信息安全考试_易错题详细解析_第一套题 .pdf

cisp第一套题库 ※随着信息技术的不断发展，信息系统的重要性也越来越突出，而与此同时，发生的信息安全事件也越来越 多，综合分析信息安全问题产生的根源，下面描述正确的是（ ）。[1分] 正确答案： √信息安全问题产生的根源要从内因和外因两个方面两个方面分析，因为信息系统自身存在脆弱性，同时 外部又有威胁源，从而导致信息系统可能发生安全事件。因此，要防范信息安全风险，需从内外因同时着 手 解析： 只有内因与外因，没有人的因素，人为属外因 ※ ：SQL 注入JAVA 也有，跟使用哪种语言没有关系，使用过滤器合适 ※在使用系统安全工程—能力成熟度模型（SSE-CMM）对一个组织的安全工程能力成熟度进行测量时，正确 的理解是：[1分] 正确答案： √：测量组织能力时，就是成熟能力度级别，由执行安全工程过程时所应具有的“公共特征”CF 构成。 ※在工程实施阶段，监管机构 承建合同，安全设计方案、实施方案、实施记录，国家地方标准和技术文件， 对信息化工程进行安全 符合性 检查，以验证项目是否实现了项目设计目标和安全等要求。[1分] 正确答案： √：符合性 ※ ：要求数据0 丢失和远程集群支持的能力等级是6 级 ※不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选 择适当的风险评估方法。下面的描述中，错误的是（）。[1分] 正确答案： √：×定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不 应选择定性风险分析 解析： 不能绝对。合理选择方法。 ※《国家网络安全综合计划 （CNCI）》（国令[2008]54号） 解析： 这个不是中国发布的，是2008 年 1 月美国政府发布的关于网络空间信息安全的国家战略,由时任总统G. 布什以第54 号国家安全总统令(NSPD-54)发布 ※微软 SDL 将软件开发生命周期划分为七个阶段，并提出了十七项重要的安全活动，其中“威胁建模”属于 （设计 （Design）阶段 ）的安全活动。[1分] 正确答案： √：设计 （Design）阶段 ※根据《关于开展信息安全风险评估工作的意见》的规定，错误的是：[1分] 正确答案： √：×信息安全风险评估分自评估、检查评估两形式。应以检查评估为主，自评估和检查评估相互结合、互 为补充 解析： 风险评估应以自评估为主 ※“CC”标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体的被评测对象，描 述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案 （）。 [1分 ] √：安全目标（ST） ※有关系统安全工程 -能力成熟度模型 （SSE-CMM）中的基本实施 （Base Practices，BP），正确的理解是： [1分 ] 正确答案： √：BP 不限定于特定的方法或工具，不同的业务背景中可以使用不同的方法 ※2005 年，RFC4301 （Request for Comments 4301 ：Security Architecture for the Internet Protocol）发布，用以取代原先的 RFC2401，该标准建议规定了 IPsec 系统基础架构，描述如何在 IP 层 （IPv4/IPv6）为流量提供安全业务。请问此类 RFC 系列标准建议是 由下面哪个组织发布的（ ）。[1分 ] 正确答案： √：Internet 工程任务组 （Internet Engineering Task Force，IETF） ※美国国家标准与技术研究院 （National Institute of Standards and Technology，NIST）隶属美 国商务部，NIST 发布的很多关于计算机安全的指南文档。下面哪个文档是由 NIST 发布的（ ）。[1分 ] 正确答案： √：SP 800-37 《Guide for Applying the Risk Management Framework to Federal Information Systems》 解析： SP 800-XX 一系列标准 ※应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是（ ）。[1分 ] 正确答案： √：×应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作 ：安全事件发 生时正确指挥 、事件发生后全面总结 解析： 少 事前的准备阶段 ※信息安全