2026年CISP认证考试历年真题及答案｜最新CISP题库和备考资料

CC 标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC 标准的先进性：

根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812 号），关于推动信息安全等级保护（）建设和开展( )工作的通知（公信安[2010]303号）等文件，由公安部( )对等级保护测评机构管理，接受测评机构的申请、考核和定期（），对不具备能力的测评机构则（）

以下哪个现象较好的印证了信息安全特征中的动态性( )

老王是某政府信息中心主任。以下哪项项目是符合《保守国家移密法》要求的( )

关于计算机取征描述不正确的是（）

（）第23条规定存储、处理国家机秘密的计算机信息系统（以下简称涉密信息系统），按照（）实行分级保护，（）应当按照国家保密标准配备保密设施、设备。（）、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。涉密信息系统应当按照规定，经（）后方可投入使用。

Linux 系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护root 账户、使用网络防火墙和文件权限操作共10 个方面来完成。小张在学习了Linux 系统安全的相关知识后，尝试为自己计算机上的Linux 系统进行安全配置。下列选项是他的部分操作，其中不合理的是（）。

PDCA 循环又叫戴明环，是管理学常用的一种模型。关于PDCA 四个字母，下面理解错误的是（ ）

在国家标准GB/T 20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》中，信息系统安全保障模型包含哪几个方面? （）

目前，信息系统面临外部攻击者的恶意攻击威胁，从成胁能力和掌握资源分，这些威胁可以按照个人或胁、组织威胁和国家威胁三个层面划分，则下面选项中属于组织威胁的是（）

若一个组织声称自己的ISMS 符合ISO/IEC 27001 或GB/T22080 标准要求，其信息安全控制措施通常需要在资产管理方面安施常规控制，资产管理包含对资产负责和信息分类两个控制目标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施（ ）

有关质量管理，错误的理解是（ ）。

在某信息系统的设计中，用户登录过程是这样的: (1)用户通过HTTP 协议访问信息系统; (2)用户在登录页面输入用户名和口令；(3)信息系统在服务器端检查用户名和密码的正确性, 如果正确，则鉴别完成。可以看出，这个鉴别过程属于（ ）

随机进程名称是恶意代码迷惑管琊员和系统安全检查人员的技术手段之一,以下对于随机进程名技术。描述正确的是（ ）。

随着即时通讯软件的普及使用，即时通讯软件也被恶意代码利用进行传播，以下哪项功能不是恶意代码利用即时通讯进行传播的方式

GB/T 22080-2008 《信息技术安全技术信息安全管理体系要求》指出，建立信息安全管理体系应参照PDCA 模型进行，即信息安全管理体系应包括建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进ISMS 等过程，并在这些过程中应实施若干活动。请选出以下描述错误的选项（）。

某单位需要开发一个网站，为了确保开发出安全的软件。软件开发商进行了OA 系统的威胁建模，根据威胁建模，SQL 注入是网站系统面临的攻击威胁之一，根据威胁建模的消减威胁的做法。以下哪个属于修改设计消除威胁的做法（）

信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估，就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的（），向信息系统的所有相关方提供信息系统的（）能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是（），信息系统不仅包含了仅讨论技术的信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的过程，涉及信息系统整个（），因此信息系统安全保障

某企业内网中感染了一种依靠移动存储进行传播的特洛伊木马病毒，由于企业部署的杀毒软件，为了解决该病毒在企业内部传播，作为信息化负责人，你应采取以下哪项策略()

分布式拒绝服务（Distributed Denial of Service, DDoS）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台。对一个或多个目标发动DDoS 攻击，从而成倍地提高拒绝服务攻击的威力。一般来说，DDoS 攻击的主要目的是破坏目标系统的（）

作为信息安全从业人员，以下哪种行为违反了CISP 职业道德准侧（）

Apache HTTP Server（简称Apache）是个开放源码的Web 服务运行平台，在使用过程中，该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发，为隐藏这些信息，应当采取以下哪种措施()

安全漏洞产生的原因不包括以下哪一点()

某IT 公司针对信息安全事件已经建立了完善的预案，在年度企业信息安全总结会上，信息安全管理员对今年应急预案工作做出了四个总结，其中有一项总结工作是错误，作为企业的CSO，请你指出存在问题的是哪个总结？（）

某软件在设计时，有三种用户访问模式，分别是仅管理员可访问、所有合法用户可访问和允许匿名访问)采用这三种访问模式时，攻击面最高的是()。

王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产A1 和资产A2，其中资产A1 面临两个主要威胁: 威胁T1 和威胁T2: 而资产A2 面临一个主要威胁: 威胁T3；威胁T1 可以利用的资产A1 存在的两个脆性: 脆弱性V1 和脆弱性V2；威胁T2 可以利用的资产A1 存在的三个脆弱性：脆弱性V3、脆弱性V4 和脆弱性V5; 威胁T3 可以利用的资产A2 存在的两个脆弱性: 脆弱性V6 和脆弱性V7; 根据上述条件，请问:使用相乘法时，应该为资产A1

某政府机构委托开发商开发了一个OA系统。其中公交分发功能使用了FTP协议，该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改，安全专家提出使用Http下载代替FTP功能以解决以上问题，该安全问题的产生主要是在哪个阶段产生的()

从SABSA的发展过程，可以看出整个SABSA在安全架构中的生命周期（如下图所示），在此SABSA生命周期中，前两个阶段的过程被归类为所谓的（），其次是（），它包含了建筑设计中的（）、物理设计、组件设计和服务管理设计，再者就是（），紧随其后的则是（）

随着信息安全涉及的范围越来越广，各个组织对信息安全管理的需求越来越迫切。越来越多的组织开始尝试使用参考ISO27001介绍的ISMS来实施信息安全管理体系，提高组织的信息安全管理能力。关于ISMS。下面描述错误的是（ ）。

小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小。假设单位机房的总价值为400万元人民币，暴露系数(Exposure Factor,EF)是25%，年度发生率(Annualized Rate of Occurrence, ARO)是0.2,那么小王计算的年度预期损失（Annualized Loss Expectancy, ALE) 应该是( )。

随着信息技术的不断发展，信息系统的重要性也越来越突出，而与此同时，发生的信息安全事件也越来，综合分析信息安全问题产生的根源，下面描述正确的是（ ）

在Linux系统中，下列哪项内容不包含在/etc/passwd文件中（）

即使最好用的安全产品也存在（）。结果，在任何的系统中敌手最终都能够找出一个被开发出的漏洞。一种有效的对策时在敌手和它的目标之间配备多种（）。每一种机制都应包括（）两种手段。

某攻击者想通过远程控制软件潜伏在某监控方的UNIX系统的计算机中，如果攻击者打算长时间地远程监控某服务器上的存储的敏感数据，必须要能够清除在监控方计算机中存在的系统日志。否则当监控方查看自己的系统日志的时候，就会发现被监控以及访向的痕迹。不属于清除痕迹的方法是()。

信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现对组织内部信息安全的有效管理，实施常规的控制措施，不包括哪些选项()

按照我国信息安全等级保护的有关政策和标准。有些信息系统只需要自主定级、自主保护，按照要求向公安机关备案即可，可以不需要上级或主管都门来测评和检查。此类信息系统应属于：

小李在检查公司对外服务网站的源代码时，发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时，会将详细的错误原因在结果页面上显示出来。从安全角度考虑，小李决定修改代码。将详细的错误原因都隐藏起来，在页面上仅仅告知用户“抱歉。发生内部错误!”。请问，这种处理方法的主要目的是()。

关于ARP 欺骗原理和防范措施，下面理解错误的是( )

组织内人力资源部门开发了一套系统，用于管理所有员工的各种工资、绩效、考核、奖励等事宜。所有员工都可以登录系统完成相关需要员工配合的工作，以下哪项技术可以保证数据的保密性：

强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性，适用于专用或对安全性较高的系统。强制访问控制模型有多种类型，如BLP、Biba、Clark-Willson 和ChineseWall 等。小李自学了BLP 模型，并对该模型的特点进行了总结。以下4 钟对BLP 模型的描述中，正确的是（）：

一个信息管理系统通常会对用户进行分组并实施访问控制。例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是：

信息安全风险等级的最终因素是：

实施灾难恢复计划之后，组织的灾难前和灾难后运营成本将：

自主访问控制模型（DAC）的访问控制关系可以用访问控制表（ACL）来表示，该ACL 利用在客体上附加一个主体明细表的方法来表示访问控制矩阵，通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是（）。

二十世纪二十年代，德国发明家亚瑟.谢尔比乌斯（Arthur Scherbius）发明了Engmia 密码机。按照密码学发展历史阶段划分，这个阶段属于（）

主体和客体是访问控制模型中常用的概念。下面描述中错误的是（）

数字签名不能实现的安全特性为（）

在入侵检测（IDS）的运行中，最常见的问题是：（）

什么是系统变更控制中最重要的内容？

IPv4 协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进行互联、互通，仅仅依靠IP 头部的校验和字段来保证IP 包的安全，因此IP 包很容易被篡改，并重新计算校验和。IETF 于1994 年开始制定IPSec 协议标准，其设计目标是在IPv4 和IPv6 环境中为网络层流量提供灵活、透明的安全服务，保护TCP/IP 通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性。下列选项中说法错误的是（ ）

小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应聘时，面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（）。

分布式拒绝服务（Distributed Denial of Service DDOS)攻击指借助于客户/ 服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDOS 攻击，从而成倍地提高拒绝服务攻击的威力，一般来说。DDOS 攻击的主要目的是破坏目标系统的（）

《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27 号明确了我国信息安全保障工作的（）,是加强信息安全保障工作的( ) ，需要重点加强的信息安全保障工作。27 号文的重大意义是。它标志着我国信息安全保障工作有了（），我国最近十余年的信息安全保障工作都是围绕此政策性文件来( ) 的、促进了我国（）的各项工作。

某银行网上交易系统开发项目在最好阶段分析系统运行过程中可能存在的攻击，请问以下中，哪一项不能降低该系统的受攻击面（）

与PDR 模型相比，P2DR 模型则更强调（）,即强调系统安全的（），并且以安全检测、（）和自适应填充“安全间隙“为循环来提高（）。

你是单位安全主管，由于微软刚发布了数个系统漏洞补丁，安全运维人员给出了针对此漏洞修补的四个建议方案，请选择其中一个最优方案执行（）

关于《网络安全法》域外适用效力的理解，以下哪项是错误的()

依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是：

以下哪一项是数据完整性得到保护的例子?

进入21 世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：

与PDR 模型相比，P2DR 模型多了哪一个环节?

以下关于项目的含义，理解错误的是：

2008 年1 月2 日，美目发布第54 号总统令，建立国家网络安全综合计划（Comprehensive National Cyber security Initiative，CNCI)。CNCI 计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境．从以上内容，我们可以看出以下哪种分析是正确的：

下列对于信息安全保障深度防御模型的说法错误的是：

某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一类：

Alice 用Bob 的密钥加密明文，将密文发送给Bob。Bob 再用自己的私钥解密，恢复出明文。以下说法正确的是：

下列哪一种方法属于基于实体“所有”鉴别方法：

为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?

某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?

软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误的?

软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：

以下哪一项不是工作在网络第二层的隧道协议：

主体S 对客体01 有读(R)权限，对客体02 有读(R)、写(W)、拥有(Own)权限，该访问控制实现方法是：

以下场景描述了基于角色的访问控制模型(Role-based Access Control．RBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC 模型，下列说法错误的是：

下面哪一项不是虚拟专用网络(VPN)协议标准：

下列对网络认证协议Kerberos 描述正确的是：

鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的：

在ISO 的OSI 安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?

某公司已有漏洞扫描和入侵检测系统(Intrusion Detection System，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是：

相比文件配置表(FAT)文件系统，以下哪个不是新技术文件系统(NTFS)所具有的优势?

某公司系统管理员最近正在部署一台Web 服务器，使用的操作系统是windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：

关于linux 下的用户和组，以下描述不正确的是。

安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows 操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?

在数据库安全性控制中，授权的数据对象，授权子系统就越灵活?

下列哪一些对信息安全漏洞的描述是错误的?

账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?

以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?

张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击?

关于软件安全开发生命周期(SDL)，下面说法错误的是：

在软件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能：

从系统工程的角度来处理信息安全问题，以下说法错误的是：

有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices，BP)，正确的理解是：

以下哪一种判断信息系统是否安全的方式是最合理的?

以下关于信息安全法治建设的意义，说法错误的是：

小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少：

2005 年4 月1 日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是：

风险管理的监控与审查不包含：

信息安全等级保护要求中，第三级适用的正确的是：

下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的：