软件安全工程师考试题目：CISP-注册信息安全专业人员考试-模拟题71-80题

软件安全工程师考试题目：CISP-注册信息安全专业人员考试-模拟题71-80题A、1-3-4-2 72.[单选题]72、作为业务持续性计划的一部分，在进行业务影响分析（BIA）时的步骤是∶?1．标识关键的业务过程;2．开发恢复优先级;3．标识关键的I资源;4.表示中断影响和允许的中断时间?D、与生产中心面临相同区域性风险的机率很小?答案:D解析:备份中心的综合风险小于主中心。

71.[单选题]71、以下对异地备份中心的理解最准确的是∶?

A、与生产中心不在同一城市

B、与生产中心距离 100 公里以上

C、与生产中心距离 200公里以上?

D、与生产中心面临相同区域性风险的机率很小?

答案:D

解析:备份中心的综合风险小于主中心。

72.[单选题]72、作为业务持续性计划的一部分，在进行业务影响分析（BIA）时的步骤是∶?1．标识关键的业务过程;2．开发恢复优先级;3．标识关键的I资源;4.表示中断影响和允许的中断时间?

A、1-3-4-2

B、1-3-2-4

C、1-2-3-4

D、1-4-3-2

答案∶A

解析∶根据BCM的分析过程顺序为A

73. [单选题]73、有关系统安全工程-能力成熟度模型（SSE-CM），错误的理解是

A．SSE-CM 要求实施组织与其他组织相互作用，如开发方、产品供应商、集成商和咨询服务商等

B、SSE-CAM 可以使安全工程成为一个确定的、成熟的和可度量的科目

C．基于SSE-CAM的工程是独立工程，与软件工程、硬件工程、通信工程等分别规划实施

D、SSE-CMM覆盖整个组织的活动，包括管理、组织和工程活动等，而不仅仅是系统安全的工程活动

答案:C

解析:SSE-CMM 是系统工程，不可以独立实施。

74.[单选题]74、 下面关于信息系统安全保障的说法不正确的是∶

A、信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关

B、 信息系统安全保障要素包括信息的完整性、可用性和保密性

C、信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障

D、 信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命

答案∶B

解析：信息系统安全保障要素为技术、工程、管理和人员四个领域。信息系统安全保障的安全特征是完整、保密和可用性

75.[单选题]75、 在使用系统安全工程-能力成熟度模型（SSECMD对一个组织的安全工程能力成熟度进行测量时，正确的理解是∶

A、测量单位是基本实施（Base Practices，BP）

B、测量单位是通用实践（Generic Practices，GP）

C、测量单位是过程区域（Process Areas，PA）

D、测量单位是公共特征 （Conmmon Features，CF）

答案∶D

76. [单选题]76、下面关于信息系统安全保障模型的说法不正确的是∶

A．国家标准《信息系统安全保障评估框架第一部分∶简介和一般模型》GB/T20274.1-006）中的信息系统安全保障模型将风险和策略作为基础和核心

B．模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化

C、信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全

D．信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入

答案∶D

解析∶ 单位对信息系统运行维护和使用的人员在能力和培训方面需要投入。

77． [单选题]77、信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作∶

A、明确业务对信息安全的要求

B、识别来自法律法规的安全要求

C、论证安全要求是否正确完整

D、 通过测试证明系统的功能和性能可以满足安全要求

答案∶D

解析∶ D 属于项目的验收阶段，不属于 IT 项目的立项阶段，题干属于立项阶段。

78. [单选题]78、关于信息安全保障技术框架（IATF），以下说法不正确的是∶

A、 分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本

B．IATF 从人、技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施

C、允许在关键区域（例如区域边界）使用高安全级保障解决方案，确保系统安全性

D、IATF 深度防御战略要求在网络体系结构各个可能位置实现所有信息安全保障机制

答案∶D

解析： IATF 是在网络的各位置实现所需的安全机制。

79.[单选题]79、某单位开发一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析，模糊测试等软件测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试，模糊测试的优势给领导做决策，以下哪条是渗透性的优势?

A、渗透测试使用人工进行测试，不依赖软件，因此测试更准确

B、 渗透测试是用软件代替人工的一种测试方法。因此测试效率更高

C、渗透测试以攻击者思维模拟真实攻击，能发现配置错误等运行维护期产生的漏洞

D、渗透测试屮必须要查看软件源代码，因此测试中发现的漏洞更多

答案：C

解析：C是渗透测试的优点。

80、[单选题]80、以下关于软件安全测试的说法正确的是( )

A、软件安全测试就是黑盒测试

B、FUZZ测试是经常釆用的安全测试方法之一

C、软件安全测试关注的是软件的功能

D、软件安全测试可以发现软件中产生的所有安全问题

答案：B