2022年CISP模擬試題每日一練（三十三）

CISP考試內容主要包括信息安全保障、網絡安全監(jiān)管、信息安全管理、業(yè)務連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術、物理與網絡通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了2022年CISP考試模擬試題每日一練，大家可以練習下。

單項選擇題：

1.在某次信息安全應急響應過程中，小王正在實施如下措施，消除或阻斷攻擊派，找到并消除系統(tǒng)的脆弱性/漏洞、修改安全策略、加強防范措施、格式化被感染惡意程序的介質，請問，按照 PDCERF 應急響應方法，這些工作應處于以下哪個階段（）。

A.準備階段

B.檢測階段

C.遏制階段

D.根除階段

2.小王在學習信息安全管理體系相關知識之后，對于建立信息安全管理體系，自己總結了 下面四條要求，其中理解不正確的是（）。

A.信息安全管理體系的建立應參照國際國內有關標準實施，因為這些標準是標準化組織在總結研究了很多實際的或潛在的問題后，制定的能共同的和重復使用的規(guī)則

B.信息安全管理體系應強調全過程和動態(tài)控制的思想，因為安全問題是動態(tài)的，系統(tǒng)所處的 安全環(huán)境也不會一成不變，不可能建設永遠安全的系統(tǒng)

C.信息安全管理體系的建立應基于一次風險評估徹底解決所有安個問題的思想，因為這是有關信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預防控制為主的思想

D.信息安全管理體系應體現(xiàn)科學性和全面性的特點，因為要對信息安全管理涉及的方方面面實施較為均衡的管理，避免遺漏某些方面而導致組織的整體信息安全水平過低

3.北京某公司利用 SSE-CMM 對其自身工程隊伍能力進行自我改善，其理解正確的是（）。

A.系統(tǒng)安全工程能力成熟度模型 SSE-CMM 定義了 6 個能力級別，當工程隊伍不能執(zhí)行一個過程域的基本實踐時，該過程的過程能力是 0 級

B.達到 SSE-CMM 較高級以后，工程隊伍執(zhí)行同一個過程，每次執(zhí)行的結果質量必須相同

C.系統(tǒng)安全工程能力成熟度模型 SSE-CMM 定義了 3 個風險過程：評價威脅，評價脆弱性， 評價影響

D.SSE-CMM 強調系統(tǒng)安全工程與其他工程學科的區(qū)別性和獨立性

4.關于信息安全事件管理和應急響應，以下說法錯誤的是（）。

A.應急響應是指組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施

B.應急響應方法，將應急響應管理過程分為遏制、根除、處置、恢復、報告和跟蹤 6 個階段

C.對信息安全事件的分級主要參考信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響三方面因素

D.根據(jù)信息安全事件的分級參考要素，可將信息安全事作為分為 4 個級別;特別重大事件(II 級)、較大事件(III 級)和一般事件(IV 級)

5.某電子商務網站在開發(fā)設計時，使用了威脅建模方法來分析電子商務網站所面臨的威 脅。STRIDE 是微軟 SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標準的消減措施，Spoofing 是STRIDE中欺騙類的威脅，以下威脅中哪個可以歸入此類威脅（）。

A.網站競爭對手可能雇傭攻擊者實施 DDos 攻擊，降低網站訪問速度

B.網站使用 http 協(xié)議進行瀏覽等操作，未對數(shù)據(jù)進行加密，可能導致用戶傳輸信息泄漏，例如購買的商品金額等

C.網站使用 http 協(xié)議進行瀏覽等操作，無法確認數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改

D.網站使用用戶名、密碼進行登錄驗證，攻擊者可能會利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息

注：以上試題資源來源于網絡，如有侵權，請聯(lián)系刪除。