CISP考前笔记

1软件需求分析是保证软件质量的重要步骤，它的实施应该是在软件定义阶段 1语句覆盖最弱，只需要让程序中的语句都执行一遍即可。分支覆盖又称判定覆盖：使得程序中每个判断的取真分支和取假分支至少经历一次，即判断的真假均曾被满足。 1计算环境安全中的恶意代码的预防技术安全策略减轻威胁减少漏洞 1首先，访问控制矩阵应该放到数量比较少的对象上。题目中提到大量用户，用户是主体，说明主体数量多，客体数据少，所以应该把矩阵与客体结合，也就是ACL。其次，ACL权限列表中，行标题为用户，列标题为文件。因为用户多，文件少，所以按列读取效率更高。 1以下关于BLP模型规则 BLP模型主要包括简单安全规则和*-规则主体可以读客体，当且仅当主体的安全级可以支配客体的安全级，且主体对该客体具有自主型读权限主体可以写客体，当且仅当客体的安全级可以支配主体的安全级，且主体对该客体具有自主型写权限 *-规则是向上写， -HTTP协议是高层协议，广播风暴是由底层协议的问题引起的。 1私有区块链是指仅仅使用区块链的总账技术进行记账，可以是一个公司，也可以是个人，独享该区块链的写入权限。 1ICMP是因特网控制消息协议，可以实现差错报告，比如PING和TRACEROUTE命令。 1 “制定ISMS方针”是建立ISMS阶段工作内容;“实施培训和意识教育计划”是实施和运行ISMS阶段工作内容;“进行有效性测量”是监视和评审ISMS阶段工作内容;“解析实施内部审核是监视和评审的工作内容” 1证据的获取和证据的分析 1网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码。以该用户身份登录修改用户订单等信息。 STRIDE是微软SDL中提出的威胁建模方法。将威胁分为六类，为每一类威胁提供了标准的消减措施。Spooflng是STRIDE中欺骗类的威胁 -SABSA模型包括( ),它是一个（），它在第一层次从安全的角度定义了（），模型的每一层在抽象方面逐层减少，细节逐层增加，因此它的层级都是建立在其他层之上的，从策略逐渐到技术和解决方案（）。其思路上创新提出了一个包括战略、概念、设计、实施、度量和审计层次的（）六层；分层模型；业务需求；实施实践；安全链条

-《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号明确了我国信息安全保障工作的（）、加强信息安全保障工作的（）、需要点加强的信息安全保障工作，27号文的重大意义是，它标志着我国信息安全保障工作有了（）、我国最近十余年的信息安全保障工作都是围绕此政策性文件来（）的、促进了我国（）的各项工作。[1分] 方针和总体要求；主要原则；总体纲领；展开和推进；信息安全保障建设

-有些补丁安装后可能会产生兼容性问题，所以安装前要做好测试和备份等工作。

-签订外包服务合同，持有技术观点，存在实现风险的任务通过签订外部合同的方式交予第三方公司完成，通过合同责任条款来应对风险。转移风险

-（）法第二十三条规定存储、处理国家秘密计算机信息系统（以下简称涉密信息系统）按照（）实行分级保护。（）应当按照国家保密标准配备保密措施、设备。（）、设备应当与涉密信息系统同步规划、同步建设、。同步运行（三同步）。涉密信息系统应当按照规定，经（）后，方可使用。[1分] 《保密法》：涉密程度：涉密信息系统：保密措施：检查合格

对于无线局域网络和无线个人区域网络来说，它们的通信内容更容易被窃听

PDCERF 方法是信息安全应急响应工作中常用的一种方法，它将应急响应分成六个阶段。：拒绝来自发起攻击的嫌疑主机流量等做法属于遏制阶段的工作。

以下关于 PGP(Pretty Good Privacy)软件叙述 PGP 可以实现对邮件的加密、签名和认证 PGP 可以实现数据压缩 PGP 可以对邮件进行分段和重组：SHA 不提供加密，SHA 是摘要算法提供数据完整性校验。

在 Windows XP 中用事件查看器查看日志文件，可看到的日志包括？[1分] 应用程序日志、安全性日志、系统日志和IE日志

-AES 在抵抗差分密码分析及线性密码分析的能力比 DES 更有效 128bit 192bit 256bit

活动

以下关于 Windows 系统的账号存储管理机制（Security Accounts Manager）的说法哪存储在注册表中的账号数据有只有 System 账户才能访问，具有较高的安全性

主体安全级高于左、右两个客体，应用向下读规则，所以可以读，但不能写。 3-1-2

随着“互联网”概念的普及，越来越多的新兴住宅小区引入了“智能楼宇”的理念，某物业为提供高档次的服务，防止网络主线路出现故障，保证小区内网络服务的可用，稳定、高效，计划通过网络冗余配置的是（）。[1分] 保证网络带宽和网络设备的业务处理能力具务冗余空间，满足业务高峰期和业务发展需求包含以下2项接入互联网时，同时采用不同电信运营商线路，相互备份且互不影响。核心层、汇聚层的设备和重要的接入层设备均应双机设备。

某集团公司信息安全管理员根据领导安排制定了一下年度的培训工作计划、提出了四大培训任务目标，关于这四个培训任务和目标，作为主管领导，以下选项中正确的是（）[1分] 由于网络安全上升到国家安全的高度，因此网络安全必须得到足够的重视，因此安排了对集团公司下属公司的总经理(一把手)的网络安全法培训

若一个组织声称自己的 ISMS 符合 ISO/TEC27001 或 GB22080 标准要求，其信息安全信息安全方针、信息安全组织、资产管理人力资源安全、物理和环境安全、通信和操作管理访问控制、信息系统获取、开发和维护、符合性：D 属于 ISMS 的工作阶段，不属于措施。规划与监理 ISMS

在 GB／T18336《信息技术安全性评估准则》（CC 标准）中，有关保护轮廓 PP 是描述一类产品或系统的安全要求 PP 描述的安全要求与具体实现无关 ST 与具体的实现有关 C ：PP甲方的安全需求，ST是乙方的保障方案，两份不同的 ST 可以同时满足同一份 PP 的要求。

：BS7799-1 发展为 ISO27002；BS7799-2 发展为 ISO27001；TCSEC 发展为 ITSEC和FC；ITSEC和FC 发展为 CC。

：SSE-CMM 用于对安全建设工程的成熟度进行评估。

系统安全工程-能力成熟度模型(SSE-CMM）定义的包含评估威胁、评估脆弱性、评估影响和评估安全风险的基本过程领域是：[1分] 风险过程：风险过程包括评估威胁、评估脆弱性、评估影响和评估安全风险。

：SSE-CMM 充分定义级包括三个特征，为“定义标准过程”、“执行已定义的过程”、“安全协调实施”。

有关系统安全工程-能力成熟度模型（SSE-CMM）中的通用实施（Generic Practices ，GP） GP 是涉及过程的管理、测量和制度化方面的活动在工程实施时，GP 应该作为基本实施（ Base Practices，BP）的一部分加以执行在评估时，GP 用于判定工程组织执行某个 PA 的能力：GP 适用于域维中所有 PA 活动。

有关系统安全工程-能力成熟度模型（sse-cmm）中的基本实施（Base Practices ，BP），一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段

：利用日志文件中故障发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为回滚。

：Windows 的 ACL 机制中，文件和文件夹的权限是客体关联的，即文件夹和文件的访问权限信息是写在客体文件和文件夹属性数据库中。

某集团公司的计算机网络中心内具有公司最重要的设备和信息数据。网络曾在一段时间内依然遭受了几次不小的破坏和干扰，虽然有防火墙，但系统管理人员也未找到真正的事发原因。某网络安全公司为该集团部署基于网络的入侵检测系统（NIDS），将IDS部署在防火墙后，以进行二次防御。那么NIDS不会在（）区域部署。[1分] 为了保护内网网络中心的安全，不应该在外网入口处部署

下面四款安全测试软件中，主要用于WEB安全扫描的是（）[1分] Acunetix Web Vulnerability Scanner

关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别，下面描述正确的是（）[1分] WPA是依照802.11i标准草案制定的，而WPA2是依照802.11i正式标准制定的

Kerberos协议是一种集中访问控制协议，它能在复杂的网络环境中，为用户提供安全的单点登录服务，单点登录是指用户在网络中进行一次性验证，便可以访问其授权所有的网络资源，而不再需要其他的身份过程，其本质是消息M在多个应用系统之间传递或共享，其中，消息M是指以下选项中的（）。[1分] 安全凭证

SMTP和POP3都是电子邮件协议，它们在功能和使用方式上有所不同。 SMTP（Simple Mail Transfer Protocol）是一种用于发送电子邮件的协议。它定义了电子邮件的传输方式，负责将邮件从发件人的电子邮件服务器发送到接收人的电子邮件服务器。SMTP协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。因此，SMTP服务器就是遵循SMTP协议的发送邮件服务器。 POP3（Post Office Protocol 3）则是一种用于接收电子邮件的协议。它允许用户从邮件服务器上下载和接收邮件，使得用户能够通过客户端应用程序（如Outlook、Thunderbird等）访问和管理邮件服务器上的收件箱。当邮件客户端检查邮件时，它会使用POP3协议从服务器上下载邮件。此外，POP3协议也允许用户将邮件从服务器上存储到本地主机（即自己的计算机）上，并可以选择是否删除保存在邮件服务器上的邮件。总的来说，SMTP协议主要负责邮件的发送，而POP3协议则负责邮件的接收和下载。两者共同协作，使得我们能够方便地发送和接收电子邮件。

SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议 SMTP和POP3协议是以明文传输数据，因此存在数据泄漏的可能 SMTP和POP3协议由于协议简单，易用性好，更容易实现远程管理邮件 SMTP和POP3协议缺乏严格的用户认证，因为导致了垃圾邮件问题。。错！！！

绝密级是会对国家安全造成特别重大影响信息。

RBAC2是在RBAC0模型基础之上增加了角色约束

与人个信息相关的用户名和密码组成了最有可能的密码字典

系统工程的模型之一霍尔三维结构模型由时间维、逻辑维和知识维组成。有关此模型，错误的是：[1分] 霍尔三维结构体系形象地描述了系统工程研究的框架时间维表示系统工程活动从开始到结束按时间顺序排列的全过程知识维列举可能需要运用的工程、医学、建筑、商业、法律、管理、社会科学和艺术等各种知识和技能逻辑维的七个步骤与时间维的七个阶段严格对应，即时间维第一阶段应执行逻辑维第一步骤的活动，时间维第二阶段应执行逻辑维第二步骤的活动!!!错！！步骤和阶段没有严格的对应关系

关于恶意代码的守护进程的功能，以下说法正确的是（）[1分] 监视恶意代码主体程序是否正常

CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性？[1分] ITSEC 最早强调功能和保证的分离，不是 CC 的先进性

信息系统的RPO（恢复点目标）指标为3小时。 RPO衡量的是安全事件安生后，组织允许丢失多长时间的数据。

从历史演进来看，信息安全的发展经历了多个阶段。其中，有一个阶段的特点是：网络信息系统逐步形成，信息安全注重保护信息在存储、处理和传输过程中免受非授权的访问，开始使用防火墙、防病毒、PKI和VPN等安全产品。这个阶段是（）。[1分] 信息系统安全阶段

系统工作霍尔三维结构模型从时间维、逻辑维、（）三个坐标对系统工程进行程序化。[1分] 知识维

王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，根据任务安排，他依据已有的资产列表，逐个分析可能危害这些资产的主体、动机、途径等多种因素，分析这些因素出现及造成损失的可能性大小，并为其赋值。请问，他这个工作属于下面哪一个阶段的工作（）。[1分] 威胁识别并赋值危害资产的主体、动机、途径等，这些都属于外部的威胁。

下列关于软件安全开发中的BSI（Build Security In）系列模型说法错误的是（）。[1分] 三根支柱为风险管理、软件安全接触点、安全知识 BSI含义是指将安全内建到软件开发过程中，而不是可有可无，更不是游离于软件开发生命周期之外软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，它提供了从不同角度保障安全的行为方式 BSI系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分

：Windows 的 ACL 机制中，文件和文件夹的权限是客体关联的，即文件夹和文件的访问权限信息是写在客体文件和文件夹属性数据库中。