CISP认证考试指南

CISP考试(习题卷1)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]制定应急响应策略主要需要考虑A)系统恢复能力等级划分B)系统恢复资源的要求C)费用考虑D)人员考虑答案:D解析:2.[单选题]信息安全风险评估师信息安全风险管理工作中的重要环节。

在《关于开展信息安全 风险评估工作的意见》（国信办[2006]5 号）中，指出了风险评估分为自评估和检 查评估两种形式，并对两种工作形式提出了有关工作原则和要求。

下面选项中描述 错误的是？A)自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行 的风险评估B)检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的 风险评估C)信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补 充D)自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个， 并坚持使用答案:D解析:3.[单选题]区别脆弱性评估和渗透测试是脆弱性评估A)检查基础设施并探测脆弱性，然而穿透性测试目的在于通过脆弱性检测其可能带来的损失B)和渗透测试为不同的名称但是同一活动C)是通过自动化工具执行，而渗透测试是一种完全的手动过程D)是通过商业工具执行，而渗透测试是执行公共进程答案:A解析:4.[单选题]某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址，但是该网 络内有 15 台个人计算机，这些个人计算机不会同时开机并连接互联网。

为解决公司员 工的上网问题，公司决定将这 10 个互联网地址集中起来使用，当任意一台个人计算机 开机并连接网络时，管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给 这个人的计算机。

他关机时，管理中心将该地为收回，并重新设置为未分配。

可见，只 要同时打开的个人计算机数量少于或等于可供分配的 IP 地址，那么，每台个人计算机 可以获取一个 IP 地址，并实现与互联网的连接。

CISSP备考系列指南CISSP（Certified Information Systems Security Professional）是由国际信息系统安全认证联盟（ISC2）认证的全球领先的信息安全专业人士证书。

CISSP认证在全球范围内被广泛认可，是信息安全领域的黄金证书之一、为了帮助考生顺利备考并通过CISSP考试，以下是一系列的备考指南。

1.了解CISSP考试的基本信息CISSP考试是一个全面的、深入的考试，旨在测试考生在以下八个领域的知识和技能：安全与风险管理、资产安全、安全工程、通信与网络安全、身份与访问管理、安全评估与测试、安全操作与业务持续性、软件开发安全。

考试时间为6个小时，共包含250道选择题。

考试分数的及格线是700分（满分1000分）。

2.制定详细的备考计划考生需要制定详细的备考计划，安排每天的学习时间和内容。

建议根据自己的时间安排和个人能力，合理分配每个主题的学习时间，确保能在考试前完成复习。

3.学习CISSP的核心知识领域CISSP考试的核心知识领域包括安全与风险管理、资产安全、安全工程、通信与网络安全、身份与访问管理、安全评估与测试、安全操作与业务持续性、软件开发安全。

考生应该重点学习每个主题的重要概念、原理、技术和最佳实践。

4.阅读权威参考书籍备考CISSP考试时，阅读权威的参考书籍是必不可少的。

推荐的参考书籍包括《CISSP认证指南(第6版)》、《CISSP学习指南(第4版)》等。

这些书籍详细介绍了考试的各个知识领域和相关的概念。

5.参加培训课程参加CISSP培训课程可以帮助考生更好地理解和掌握考试的知识点。

培训课程通常由经验丰富的讲师讲授，结合实际案例进行讲解，对备考具有很大的帮助。

6.进行模拟测试模拟测试是备考CISSP考试的重要环节。

可以通过做模拟测试了解考试的形式和难度，检测自己的知识水平和答题技巧。

同时，还可以帮助考生熟悉考试的时间限制和压力，提高自己的应试能力。

cisp试题及答案一、概述CISP（Certified Information Security Professional）是国际上广泛认可的信息安全专业资格认证体系。

通过取得CISP认证，可以证明个人在信息安全领域具备丰富的专业知识和技能，有能力保护企业和组织的信息资产安全。

二、CISP试题内容概述CISP考试内容涵盖了信息安全的各个方面，包括但不限于以下几个领域：1. 信息安全管理和组织- 安全管理原则和方法论- 安全政策、标准和程序- 组织安全文化和意识培养- 风险管理和评估2. 资产安全管理- 资产分类和管理- 物理安全和环境控制- 信息存储和备份- 资产调查和回收3. 安全工程- 安全需求分析和规划 - 安全设计和实施- 安全评估和测试- 安全操作和维护4. 通信和网络安全- 网络拓扑和架构设计 - 网络设备和防护措施 - 网络协议和加密技术 - 网络安全监测和响应5. 身份和访问管理- 身份认证和授权机制 - 访问控制和权限管理 - 用户账号和密码策略 - 身份和访问审计6. 安全风险管理- 安全事件和威胁管理- 安全漏洞和漏洞管理- 恶意代码和攻击方法- 安全事件响应和处置三、CISP答案示例及解析以下是CISP试题中的一道例题及其对应的答案解析：题目：在信息安全管理中，为了确保安全策略的实施和执行，应该采取以下哪些措施？A. 定期进行安全风险评估B. 员工定期接受安全培训C. 建立安全审计和监控机制D. 所有答案都正确答案解析：D. 所有答案都正确在信息安全管理中，为了确保安全策略的实施和执行，应该综合采取多种措施。

定期进行安全风险评估可以识别和评估潜在的威胁和风险，从而采取相应的安全防护措施。

员工定期接受安全培训可以提高员工的安全意识和技能，减少由于人为因素导致的安全漏洞。

建立安全审计和监控机制可以监控信息系统的安全状况，及时发现和响应安全事件。

因此，以上选项都是确保安全策略实施和执行的重要措施。

CISP考试认证(习题卷1)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试, 以下关于渗透测试过程的说法不正确的是( )。

A)由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数 据备份,以便出现问题时可以及时恢复系统和数据B)为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试C)渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实 际系统中运行时的安全状况D)渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤答案:B解析:在正常业务运行高峰期进行渗透测试可能会影响系统正常运行。

2.[单选题]我国信息安全标准化技术委员会（TC260）目前下属6 个工作组，其中负责信息安全管理的小组是：A)WG1B)WG7C)WG3D)WG5答案:B解析:3.[单选题]以下哪个现象较好的印证了信息安全特征中的动态性( )A)经过数十年的发展,互联网上已经接入了数亿台各种电子设备B)刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险C)某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击D)某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍然产生了泄露答案:B解析:B 体现出了动态性4.[单选题]鉴别是用户进入系统的第一道安全防线， 用户登录系统时。

输入用户名和密码就是对用户身份鉴别。

鉴别通过， 即可以实现两个实体之间的连接。

例如， 一个用户被服务器鉴别通过后， 则被服务器认为是合法用户，才可以进行后续访问。

鉴别是对是信息的一项安全属性进行验证， 该属性属于下列选项中的（ ）A)保密性B)可用性C)真实性D)完整性答案:C解析:5.[单选题]从业务角度出发,最大的风险可能发生在那个阶段A)立项可行性分析阶段B)系统需求分析阶段C)架构设计和编码阶段D)投产上线阶段答案:A解析:6.[单选题]460.一个信息管理系统通常会对用户进行分组并实施访问控制，例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改，下列选项中，对访问控制的作用的理解错误的是（）A)对经过身份鉴别后的合法用户提供所有服务B)拒绝非法用户的非授权访问请求C)在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理D)防止对信息的非授权篡改和滥用答案:A解析:7.[单选题]30. 从 Linux 内核 2.1 版开始，实现了基于权能的特权管理机制，实现了超级用户的特权分割，打破了UNIX/LINUX 操作系统中超级用户/普通用户的概念，提高了操作系统的安全性。

CISP考试(习题卷13)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]以下哪种方法不能有效提高WLAN的安全性：A)修改默认的服务区标识符（SSID）B)禁止SSID广播C)启用终端与AP间的双向认证D)启用无线AP的开放认证模式答案:A解析:2.[单选题]以下哪个属性不会出现在防火墙的访问控制策略配置中?A)本局域网内地址B)百度服务器地址C)HTTP 协议D)病毒类型答案:D解析:3.[单选题]某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时时使Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改。

利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题。

对于网站的这个问题原因分析及解决措施，最正确的说法应该是？A)该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决B)该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施C)该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的问题，应对全网站进行安全改造，所有的访问都强制要求使用httpsD)该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可答案:B解析:4.[单选题]PKI的主要理论基础是：A)对称密码算法B)公钥密码算法C)量子密码D)摘要算法答案:B解析:5.[单选题]下列对强制访问控制描述不正确的是A)主题对客体的所有访问B)强制访问控制时，主体和客体分配一个安全属性C)客体的创建者无权控制客体的访问权限6.[单选题]有什么方法可以测试办公部门的无线安全？A)n War dialing战争语言B)n 社会工程学C)n 战争驾驶D)n 密码破解答案:D解析:7.[单选题]以下哪一种人给公司带来最大的安全风险？A)临时工B)咨询人员C)以前员工D)当前员工答案:D解析:8.[单选题]信息安全风险评估对象确立的主要依据是什么A)系统设备的类型B)系统的业务目标和特性C)系统的技术架构D)系统的网络环境答案:B解析:9.[单选题]为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？A)进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码B)进行离职谈话，禁止员工账号，更改密码C)让员工签署跨边界协议D)列出员工在解聘前需要注意的所有责任答案:A解析:10.[单选题]信息安全风险管理的对象不包括如下哪项A)信息自身B)信息载体C)信息网络D)信息环境答案:C解析:11.[单选题]以下哪种访问控制策略需要安全标签？A)基于角色的策略B)基于标识的策略C)用户指向的策略D)强制访问控制策略答案:DA)资产识别是指对需要保护的资产和系统等进行识别和分类B)威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C)脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱 点，并对脆弱性的严重程度进行评估D)确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系 统平台、网络平台和应用平台答案:D解析:13.[单选题]以下哪些不是网络类资产：A)网络设备B)基础服务平台C)网络安全设备D)主干线路答案:B解析:14.[单选题]如果某个网站允许用户能上传任意类型的文件， 黑客最可能进行的攻击是（ ）。

CISP教材简介CISP（计算机信息安全规范）作为信息安全管理方面的国际标准，对于信息安全领域的专业人员来说至关重要。

CISP教材旨在向学习CISP的人员提供一个全面、系统的学习指南，帮助他们掌握CISP的核心概念、原理和实践操作。

本文档是一份完整的CISP教材，包含以下主要内容： 1. CISP概述 2. CISP认证体系 3. CISP培训路径 4. CISP考试准备 5. CISP教材介绍 6. CISP教学资源 7. CISP 实践案例1. CISP概述CISP是一个国际上被广泛接受的信息安全管理标准，它包含一系列标准和规范，旨在帮助组织建立和维护有效的信息安全管理体系。

CISP的核心目标是保护组织的信息资产，预防信息泄露、恶意攻击和服务中断。

CISP强调风险管理和持续改进，以确保信息安全能够与组织的业务需求保持一致。

CISP的标准覆盖了许多关键领域，包括信息安全政策、组织安全、资产管理、访问控制、密码管理、物理和环境安全、通信和操作管理、系统开发和维护、供应商管理等。

通过遵循CISP标准，组织能够有效地识别、评估和处理信息安全风险，降低信息泄露和攻击的风险，并提高组织的整体安全水平。

2. CISP认证体系CISP认证体系由国际信息系统安全认证联盟（ISC2）负责管理。

ISC2是一个全球性的信息安全组织，致力于推动信息安全专业人员的职业发展和认证。

CISP认证体系包括以下几个重要的认证： - CISP认证（CISP）：适用于各级信息安全专业人员，要求候选人具备一定的工作经验和知识，通过考试来验证其对CISP标准的理解和应用能力。

- CISP关联认证（CCSP）：适用于云安全专业人员，要求候选人具备云安全方面的专业知识和经验，通过考试来验证其对云安全和CISP在云环境中的应用能力。

- CISP架构师认证（CISSP-ISSAP）：适用于信息安全架构师，要求候选人具备丰富的信息安全架构设计经验和CISP知识，通过考试来验证其在信息安全架构设计方面的能力。

试题A姓名：得分：一、单项选择题：（25*1=25分）1、在windows系统中，查看本地开放的端口使用的命令是：（C） use sharestat-anD.arp –a2、SQL Sever的默认DBA账号是什么？（B）A.administratorB.saC.rootD.SYSTEM3、删除linux中无用的账号，使用的命令是：（C）A.cat /etc/passwdermode –Lerdel –Rermode -F4、某文件的权限为：drw-r--r--，用数值形式表示该权限，则该八进制数为（C）。

A.755B.642C.644D.6415、sql注入时，根据数据库报错信息”Microsoft JET Database….”，通常可以判断出数据库的类型：（D）A.Microsoft SQL serverB.MySQLC.OracleD.Access6、针对Mysql的SQL注入，可以使用什么函数来访问系统文件？（C ）A.load file infileB.load fileC.load_fileD.load file_infile 7、sql注入防护通常针对编码进行安全加固。

以下哪一个不属于加固的范畴？（D）A.使用参数化语句B.验证输入C.规范化D.使用web安全防火墙8、假设一台windows xp主机处于待机状态，而且没有运行任何其他非系统进程，请问该主机哪个进程是系统正常进程？（B ）A.winlog0n.exeB.Lsass.exeC.Iexplorer.exeD.Exp1orer.exe9、Windows的系统日志文件有应用程序日志，安全日志、系统日志等等，分别位于%systemroot%\system32\config文件夹中，其中日志文件的默认大小为（A）。

A.512KBB.1024KBC.256KBD.2MB10、远程控制软件vnc工作的端口为（D）A.1433B.4899C.43859D.590011、以下不属于社会工程学技术的是（D）A.个人冒充B.直接索取C.钓鱼技术D.木马攻击12、以下那个漏洞不是远程溢出漏洞（B）A.ms08067B.ms11080C.ms06040D.ms1202013、恶意代码是（C）。

CISP考试认证(习题卷9)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]在IIS上，除了修改HTTP 500的错误页面信息外，另外一种屏蔽HTTP 500错误信息的方式是( )A)自定义脚本错误信息B)修改ISAPIC)修改WEB目录权限D)修改ASP执行权限答案:A解析:2.[单选题]如果将允许使用中继链路的 VLAN 范围设置为默认值，表示允许哪些 VLANA)允许所有 VLAN 使用中继链路B)只允许 VLAN1 使用中继链路C)只允许本征 VLAN 使用中继链路D)交换机将通过 VTP 来协商允许使用中继链路的 VLAN答案:B解析:3.[单选题]为增强Web 应用程序的安全性，某软件开发经理决定加强Web 软件安全开发培训，下面哪项内容不在考虑范围内A)关于网站身份鉴别技术方面安全知识的培训B)针对OpenSSL 心脏出血漏洞方面安全知识的培训C)针对SQL 注入漏洞的安全编程培训D)关于ARM 系统漏洞挖掘方面安全知识的培训答案:D解析:D 属于ARM 系统，不属于WEB 安全领域。

4.[单选题]下列哪些措施不是有效的缓冲区溢出的防护措施？A)使用标准的C 语言字符串库进行操作B)严格验证输入字符串长度C)过滤不合规则的字符D)使用第三方安全的字符串库操作答案:A解析:5.[单选题]由于IT的发展,灾难恢复计划在大型组织中的应用也发生了变化。

如果新计划没有被测试下面哪项是最主要的风险A)灾难性的断电B)资源的高消耗C)"恢复的总成本不能被最小化"D)用户和恢复团队在实施计划时可能面临服务器问题答案:A解析:对主体身份的识别来限制其对客体的访问权限。

下列选项中, 对主体客体和访问权阳的述中正确的是A)对文件进行操作的用户是一种主体B)用户调度并运行的某个进程是一种客体C)主体与客体的关系是固定的, 不能互换D)一个主体为了完成任务, 可以创建另外的客体, 并使这些子客体独立运行答案:A解析:7.[单选题]CISP职业道德包括诚实守信，遵纪守法，主要有（）、（）、（）A)不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为，不在公共网络传播反动、暴力、黄色、低俗信息及非法软件。

CISP考试认证(习题卷14)第1部分：单项选择题，共93题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]在进行业务连续性检测时,下列哪一个是被认为最重要的审查?A)热站的建立和有效是必要B)业务连续性手册是有效的和最新的C)保险责任范围是适当的并且保费有效D)及时进行介质备份和异地存储答案:D解析:2.[单选题]CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性().A)实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中B)结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展C)表达方式的通用性,即给出通用的表达方式D)独立性,它强调将安全的功能和保证分离答案:A解析:CC标准充分突出了保护轮廓这一概念,将评估过程分;功能和保证两部分.CC是对已有安全准则的总结和兼容,有通用的表达方式,便于理解3.[单选题]IPV4协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联、互通,仅仅依拿IP头部的校验和字段来保证IP包的安全,因此IP包很容易被篡改,并重新计算校验和,IETF于1994年开始制定IPSec协议标准,其设计目标是在IPV4和IPV6环境中为网络层流量提供灵活、透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性,下列选项中说法错误的是()A)对于IPv4,IPSec是可选的,对于IPv6,IPSec是强制实施的。

B)IPSec协议提供对IP及其上层协议的保护。

C)IPSec是一个单独的协议。

D)ITSec安全协议给出了封装安全载荷和鉴别头两种通信保护机制答案:C解析:4.[单选题]病毒和逻辑炸弹相比，特点是？A)破坏性B)传染性C)隐蔽性D)攻击性答案:B解析:5.[单选题]P2 DR模型通过传统的静态安全技术和方法提高网络的防护能力,这些技术包括?A)实时监控技术。

CISP考试认证(习题卷21)第1部分：单项选择题，共92题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]Windows操作系统中可显示或修改任意访问控制列表的命令是()A)ipconfigB)caclsC)tasklistD)systeminfo答案:B解析:2.[单选题]某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,提出了四大培训任务和 目标,关于这四个培训任务和目标,作为主管领导,以下选项中不正确的是()A)由于网络安全上升到国家安全的高度,因此网络安全必须得到足够的重视,因此安排了对集团公司下属 公司的总经理(一把手)的网络安全法培训B)对下级单位的网络安全管理岗人员实施全面培训,计划全员通过 CISP 持证培训以确保人员能力得到保障C)对其他信息化相关人员(网络管理员、软件开发人员)也进行安全基础培训,使相关人员对网络安全有所了解D)对全体员工安全信息安全意识及基础安全知识培训,实现全员信息安全意识教育答案:C解析:3.[单选题]下列不属于WEB安全性测试的范畴的是A)客户端内容安全性B)日志功能C)服务端内容安全性D)数据库内容安全性答案:D解析:4.[单选题]安全审计是一种很常见的安全控制措施,它在信息全保障系统中,属于( )措施。

A)保护B)检测C)响应D)恢复答案:B解析:5.[单选题]在SSE-CMM中对工程过程能力的评价分为三个层次，由宏观到微观依次是A)能力级别-公共特征（CF）-通用实践（GP）B)能力级别-通用实践-（GP）-公共特征（CFC)通用实践-（GP）-能力级别-公共特征（CF）D)公共特征（CF）-能力级别-通用实践-（GP）答案:A解析:B)判断信息系统和重要程度主要考虑其用户的数量C)判断系统损失大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价D)根据有关要求国家机关的信息安全事件必须划分为“重大事件”“较大事件”和“一般事件”三个级别答案:C解析:7.[单选题]下面哪个阶段不属于软件的开发时期( )A)详细设计B)总体设计C)编码D)需求分析答案:D解析:8.[单选题]关于 linux 下的用户和组,以下描述不正确的是（ ）A)在 linux 中,每一个文件和程序都归属于一个特定的“用户”B)系统中的每一个用户都必须至少属于一个用户组C)用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于多个组D)root 是系统的超级用户,无论是否文件和程序的所有者都具有访问权限答案:C解析:一个用户可以属于多个组。

CISP考试认证(习题卷3)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]信息系统安全保护等级为 3 级的系统,应当( )年进行一次等级测评?A)0.5B)1C)2D)3答案:B解析:等级保护三级系统一年测评一次,四级系统每半年测评一次。

2.[单选题]一个组织将制定一项策略以定义了禁止用户访问的WE B 站点类型。

为强制执行这一策略,最有效的技术是什么?A)状态检测防火墙B)WE内容过滤器C)WE B 缓存服务器D)应该代理服务器答案:B解析:3.[单选题]入侵防御系统（IPS）是继入侵检测系统（IDS）后发展起来的一项新的安全技术，它与IDS 有着许多不同点，请指出下列哪一项描述不符合 IPS 的特点？A)串接到网络线路中B)对异常的进出流量可以直接进行阻断C)有可能造成单点故障D)不会影响网络性能答案:D解析:4.[单选题]用于跟踪路由的命令是A)nest AtB)rege DitC)systeminfoD)tr A Cert答案:D解析:5.[单选题]信息资产敏感性指的是:A)机密性B)完整性C)可用性D)安全性答案:A解析:6.[单选题]19. 最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个？A)软件在Linux下按照时，设定运行时使用 nobody 用户运行实例B)软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库C)软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限D)为了保证软件在 Windows 下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误答案:D解析:7.[单选题]从系统工程的角度来处理信息安全问题,以下说法错误的是:A)系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。

CISP考试认证(习题卷28)说明：答案和解析在试卷最后第1部分：单项选择题，共92题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]当使用移动设备时，应特别注意确保（）不外泄。

移动设备方针应考虑与非保护环境移动设备同时工作时的风险。

当在公共场所、会议室和其他不受保护的区域使用移动计算设施时，要加以小心。

应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或泄露，如使用（）、强制使用密钥身份验证信息。

要对移动计算设施进行物理保护，以防被偷窃，例如，特别是遗留在汽车和其他形式的交通工具上、旅馆房间、会议中心和会议室。

要为移动计算设施的被窃或丢失等情况建立一个符合法律、保险和组织的其他安全要求的（），携带重要、敏感或关键业务信息的设备不宜无人值守，若有可能，要以物理的方式锁起来，或使用（）来保护设备。

对于使用移动计算设施的人员要安排培训，以提高他们对这种工作方式导致的附加风险的意识，并且要实施控制措施。

A)加密技术；业务信息；特定规程；专用锁B)业务信息；特定规程；加密技术；专用锁C)业务信息；加密技术；特定规程；专用锁D)业务信息；专用锁；加密技术；特定规程2.[单选题]关于源代码审核,下列说法正确的是:A)人工审核源代码审校的效率低,但采用多人并行分析可以完全弥补这个缺点B)源代码审核通过提供非预期的输入并监视异常结果来发现软件故障,从而定位可能导致安全弱点的薄弱之处C)使用工具进行源代码审核,速度快,准确率高,已经取代了传统的人工审核D)源代码审核是对源代码检查分析,检测并报告源代码中可能导致安全弱点的薄弱之处3.[单选题]某政府机构委托开发商开发了一个OA 系统，其中有一个公文分发，公文通知等为WORD 文档，厂商在进行系统设计时使用了 FTP 来对公文进行分发，以下说法不正确的是A)FTP 协议明文传输数据，包括用户名和密码，攻击者可能通过会话过程嗅探获得 FTP 密码， 从而威胁 OA 系B)FTP 协议需要进行验证才能访问在，攻击者可以利用 FTP 进行口令的暴力破解C)FTP 协议已经是不太使用的协议，可能与新版本的浏览器存在 兼容性问题D)FTP 应用需要安装服务器端软件，软件存在漏洞可能会影响到 OA 系统的安全4.[单选题]当更新一个正在运行的在线订购系统时,更新都记录在一个交易磁带和交易日志副本。

网络安全员证书怎么考
网络安全员证书的考试要求和考试内容是根据不同的认证机构和国家的要求而有所不同。

以下是一般情况下的考试内容和考试方式，供参考：
1. 考试要求：
- 具备相关的网络安全知识和技能；
- 有一定的网络安全工作经验；
- 了解网络安全的基本原理和方法；
- 熟悉常见的网络安全技术和工具；
- 掌握网络安全风险评估和安全控制的方法。

2. 考试方式：
- 选择题：根据具体情况选择正确的答案。

- 填空题：根据题目要求填写正确的答案。

- 简答题：对于一些理论性或实践性的问题进行简要回答。

- 操作题：通过使用常见的网络安全工具进行实际的操作和
演示。

3. 考试内容：
- 网络基础知识：包括网络协议、网络拓扑、网络设备等。

- 网络安全技术：包括防火墙、入侵检测系统、加密技术等。

- 网络安全管理：包括风险评估、安全策略、事件响应等。

- 网络攻击与防范：包括黑客攻击、病毒防范、安全审计等。

请注意，具体的考试内容和考试要求可能因不同的认证机构和
国家而有所不同。

因此，建议在考试前详细了解并参考相关的考试大纲和培训资料，以确保充分准备。

“注册信息安全专业人员”资质评估认证简介中国信息安全产品测评认证中心（CNITSEC）于2002年正式向社会推出“注册信息安全专业人员”资质认证项目。

一、什么是“注册信息安全专业人员”“注册信息安全专业人员”，英文为Certified Information Security Professional，简称CISP，是指有关信息安全企业、信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员。

CISP资质认证是中国信息安全产品测评认证中心根据国家相关授权对外开展的信息安全测评认证服务项目之一。

根据实际工作岗位的需要，CISP分为以下三类：1. CISE，“注册信息安全工程师”，英文为Certified Information Security Engineer，主要从事信息安全技术开发服务工程建设等工作；2. CISO，“注册信息安全管理人员”，英文为Certified Information Security Officer，主要从事信息安全管理等相关工作；3. CISA，“注册信息安全审核人员”，英文为Certified Information Security Auditor，主要从事信息系统的安全测试、审核和评估等工作。

二、CISP的基本职能、能力要求与道德标准1. CISP的基本职能为信息系统的安全提供技术保障。

2. CISP的基本能力要求∙具备一定的教育水准和相关工作经历∙通过规定的培训，具备较为系统的信息安全知识∙通过CISP资质认证考试，具备进行信息安全服务的能力∙获得管理部门颁发的认证证书3. CISP的道德准则所有CISP都必须付出努力才能获得和维持该项认证。

为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则：∙必须诚实、公正、负责、守法；∙必须勤奋和胜任工作，不断提高自身专业能力和水平；∙必须保护信息系统、应用程序和系统的价值；∙必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对CNITSEC针对CISP进行的调查应给予充分的合作；∙必须按规定向CNITSEC交纳费用。