CISP/NISP二级，每日一练！

1．信息安全风险等级的最终因素是：（     ）

A.威胁和脆弱性 

B.影响和可能性 

C.资产重要性 

D.以上都不对 

答案；D

解析：影响风险等级的要素包括：威胁、资产、脆弱性。

2．对系统工程（Systems Engineering，SE）的理解，以下错误的是：（     ） 

A.系统工程偏重于对工程的组织与经营管理进行研究 

B.系统工程不属于技术实现，而是一种方法论 

C.系统工程不是一种对所有系统都具有普遍意义的科学方法 

D.系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法 

答案：C

解析：系统工程是一种对所有系统都具有普遍意义的科学方法。

3．2005 年，RFC4301（Request for Comments 4301:Security Architecture for the Internet Protocol）发布，用以取代原先的 RFC2401，该标准建议规定了 IPsec 系统基础 架构，描述如何在 IP 层（IPv4/IPv6）位流量提供安全业务。请问此类 RFC 系列标准建议是由下面哪个组织发布的（     ）。 

A.国际标准化组织（International Organization for Standardization，ISO） 

B.国际电工委员会（International Electrotechnical Commission，IEC） 

C.国际电信联盟远程通信标准化组织（ITU Telecommunication Standardization Secctor， ITU-T） 

D.Internet 工程任务组（Internet Engineering Task Force，IETF） 

答案：D

4．GB/T 18336《信息技术安全性评估准则》是测评标准类中的重要标准，该标准定义了保护轮廊（Protection Profile，PP）和安全目标（Security Target，ST）的评估准则， 提出了评估保证级（Evaluation Assurance Level，EAL），其评估保证级共分为（     ）个递 增的评估保证等级。 

A.4 

B.5 

C.6 

D.7 

答案：D

5．在网络信息系统中对用户进行认证识别时，口令是一种传统但仍然使用广泛的方法，口令认证过程中常常使用静态口令和动态口令。下面描述中错误的是（      ）

A.所谓静态口令方案，是指用户登录验证身份的过程中，每次输入的口令都是固定、静止不变的 

B.使用静态口令方案时，即使对口令进行简单加密或哈希后进行传输，攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块 

C.动态口令方案中通常需要使用密码算法产生较长的口令序列，攻击者如果连续地收集到足够多的历史口令，则有可能预测出下次要使用的口令

D.通常，动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型 

答案：C

解析：动态口令方案要求其口令不能被收集和预测。

6．“统一威胁管理”是将防病毒，入侵检测和防火墙等安全需求统一管理，目前市场上已经出现了多种此类安全设备，这里“统一威胁管理”常常被简称为（     ） 

A.UTM 

B.FW 

C. IDS 

D.SOC 

答案：A

7．以下哪一项不是常见威胁对应的消减措施：（     ）

A.假冒攻击可以采用身份认证机制来防范 

B.为了防止传输的信息被篡改，收发双方可以使用单向 Hash 函数来验证数据的完整性 

C.为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖 

D.为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖 

答案：C

解析：消息验证码不能防止抵赖，而是提供消息鉴别、完整性校验和抗重放攻击。

8．国务院信息化工作办公室于 2004 年 7 月份下发了《关于做好重要信息系统灾难备份工作的通知》，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则（  ）  

A.统筹规划 

B.分组建设 

C.资源共享 

D.平战结合 

答案：B

解析：灾备工作原则包括统筹规划、资源共享、平战结合。

9．关于信息安全事件和应急响应的描述不正确的是（    ） 

A.信息安全事件，是指由于自然或人为以及软、硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响事件 

B.至今已有一种信息安全策略或防护措施，能够对信息及信息系统提供绝对的保护，这就使得信息安全事件的发生是不可能的 

C.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施

D.应急响应工作与其他信息安全管理工作将比有其鲜明的特点：具有高技术复杂性志专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作 

答案：B

解析：目前不存在一种信息安全策略或防护措施，能够对信息及信息系统提供绝对的保护。

10．信息安全事件和分类方法有多种，依据 GB/Z 20986-2007《信息安全技术自信安全事件分类分级指南》，信息安全事件分为 7 个基本类别，描述正确的是（     ） 

A.有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件 

B.网络贡献事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、 灾害性事件和其他信息安全事件 

C.网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件 

D.网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、 灾害性事件和其他信息安全事件 

答案：A

解析：根据标准知识点，安全事件分为：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。

CISP认证近期开班计划：

2024年8月19日-23日（NISP二级）

2024年8月21日-25日

报名请扫码咨询：

坚持每日学习，请持续关注本公众号！