CISP题库

1.关于微软的 SDL 原则，弃用不安全的函数属于哪个阶段?（ ） A、规划 B、设计 C、实现 D、测试

答案：C 2.优秀源代码审核工具具有哪些特点( ) ①安全性②多平台性③可扩展性④知识性⑤集成性 A.①②③④⑤ B.②③④ C.①②③④ D.②③

答案：A 3. 信息安全风险管理过程的模型如图所示。按照流程，请问，信息安全风险管理包括（ ）六个方面的内容。( )是信息安全风险管理的四个基本步骤，( )则贯穿于这四个基本步骤中。  A.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、风险处理和批准监督；监控审查和沟通咨询



B.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、风险处理和监控审查；批准监督和沟通咨询 C.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、风险处理和沟通咨询；监控审查和批准监督 D.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、监控审查和批准监督；风险处理和沟通咨询

答案：A 4.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程，下列选项中不属于风险评估要素的是()。 A. 资产 B. 跪弱性 C. 威胁 D.安全需求

答案：D 5.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是强制访问控创产生了分歧。小本认为应该采用自主访问控制的方法，他的观点主要有；(1)自主访向控制方式，可为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；(2)自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法，他的观点主要有；(3)强制访问控制中，只有文件的拥有者可以修改文件的安全属性，因此安全性较高；(4)强制访问控制能够保护敏感信息。以上四个观点中，只有一个观点是正确的，它是( ). A.观点(1) B.观点(2) C.观点(3)

D.观点(4)

答案：D