「CISP习题精讲」CISP练习题中的7道题精讲

本文主要是介绍「CISP习题精讲」CISP练习题中的7道题精讲，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

CISP习题精讲

前言
习题部分
- 第一题：纵深防御原则
- 第二题：等级保护相关
- 第三题：等级保护相关
- 第四题：安全防范
- 第五题：安全防范
- 第六题：安全防范
- 第七题：安全防范

前言

本节会对CISP众多习题中的七道题进行详细讲解，码字不容易，要不然一次更新多一些题了。

习题部分

第一题：纵深防御原则

某购物网站开发项目经过需求分析进入系统设计阶段。为了保证用户账户的安全，项目开发人员决定用户登陆时除了用户名+口令认证方式外，还加入基于数字证书的身份认证功能，同时用户口令使用SHA-1算法加密后存放在后台数据库中。请问以上安全设计遵循的是哪项安全设计原则？（）

A：最小特权原则
B：职责分离原则
C：纵深防御原则✅
D：最少共享机制原则

💖 解析💖

想象一下，你的家有好几道门，每道门都有不同的锁，这样就算小偷打开了第一道门，还有第二道、第三道门等着他，很难全部打开。这个购物网站的做法也是这样，他们不仅让用户输入用户名和密码，还加了数字证书这个额外的锁，就像是多加了几道门。

同时，他们还用SHA-1算法把密码加密，存储在数据库中，这就像是给密码上了一道密码锁。这样一来，即使有人SQL注入进入数据库，偷到了密码，也看不懂，因为它们被转换成了一堆复杂的数字和字母。

这种做法就像是在不同的层次上设置保护，让安全更有保障。所以，这个设计遵循的就是纵深防御原则，也就是在多个层面上设置防御措施，让安全更加稳固。

第二题：等级保护相关

根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812号），关于推动信息安全等级保护（）建设和开展()工作的通知（公信安[2010]303号）等文件，由公安部()对等级保护测评机构管理，接受测评机构的申请、考核和定期（），对不具备能力的测评机构则（）

A.等级测评；测评体系；等级保护评估中心；能力验证；取消授权
B.测评体系；等级保护评估中心；等级测评；能力验证；取消授权
C.测评体系；等级测评；等级保护评估中心；能力验证；取消授权✅
D.测评体系；等级保护评估中心；能力验证；等级测评；取消授权

💖解析💖

想象一下，公安部就像是一个大学校，它负责管理所有的信息安全检查团队，就像是学校的老师管理学生一样。

这些团队要想在学校里做信息安全检查（去给别人做等保），首先得通过学校的一个特别的课程（测评体系），才有能力去做（等级测评）。

学校的一些机构（等级保护评估中心）会定期给这些团队做能力测试（能力验证），看看他们是不是还保持着好的检查能力。如果哪个团队的能力下降了，学校就有权让他们停课（取消授权），不让他们继续做信息安全检查了。

要记住这个答案，你可以想象一个流程：

首先团队要学习特别的课程（测评体系），为的是去开展（等级测评）
然后检查中心（等级保护评估中心）会定期检查他们的能力（能力验证），
最后如果不合格，就会被取消资格（取消授权）。

第三题：等级保护相关

信息系统建设完成后，（）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用。

A：二级以上✅
B：三级以上
C：四级以上
D：五级以上

💖解析💖

当你建好了一个信息系统，如果这个系统的安全等级是二级或者更高，你就需要找一个国家认可的测评机构来对这个系统进行检查，确保它是安全的。

只有通过了这个测评，你才能开始使用这个系统。就像是你要开一家餐厅，如果餐厅的规模比较大，就需要通过卫生部门的检查，拿到合格证后才能开门迎客。

通常这个系统是几级的，不是你说了算的，而是需要聘请一个专家团队，来开【定级评审会】，这些专家一沟通，根据你这个系统如果被黑客攻击了，会造成什么样的影响，来决定你是一个什么等级的系统。

一般定级最少也是二级，才会进行等级保护测评活动，一级的系统一般来说用不着做等级保护，并且也很有会有黑客去攻击一级的系统，除非闲得无聊。。。。

第四题：安全防范

由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是？（）

A：要求开发人员采用敏捷开发模型进行开发✅
B：要求所有的开发人员参加软件安全意识培训
C：要求规范软件编码，并制定公司的安全编码准则
D：要求增加软件安全测试环节，尽早发现软件安全问题

💖解析💖

1️⃣B选项是让开发人员学习怎么保护软件安全，这就像是给开发人员上了一堂防盗课，肯定有帮助。

2️⃣C选项是让开发人员按照一套安全规则来写代码，这就像是告诉他们怎么锁好门，不让小偷进来。

3️⃣D选项是增加一个检查环节，早点发现软件里可能的安全漏洞，这就像是定期检查门窗有没有坏，确保小偷进不来。

4️⃣而A选项，敏捷开发模型，它是一种让开发工作更灵活、快速的方法，但它本身并不直接针对软件安全问题。这就像是你让开发人员学会了怎么快速跑步，但这并不直接帮助他们防止被黑客攻击。所以，对于解决软件被黑客攻击的问题，A选项没有直接帮助。

第五题：安全防范

数据库的安全很复杂，往往需要考虑多种安全策略，才可以更好地保护数据库的安全。以下关于数据库常用的安全策略理解不正确的是？

A：最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作。
B：最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程度地共享数据库中的信息。
C：粒度最小的策略，将数据库中数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度。✅
D：按内容存取控制策略，不同权限的用户访问数据库的不同部分。

💖解析💖

1️⃣A选项就像是给员工发钥匙，只发他们需要的那把，不多给，这样他们就能完成工作，但也不会乱开门。

2️⃣B选项就是把好东西分享给大家，但前提是不能破坏东西，也不能让不该看的人看到。

3️⃣D选项就是说，不同的人有不同的权限，就像不同的钥匙开不同的锁，不能随便乱开。

4️⃣而C选项，它提到了把数据库里的数据分成很小的部分，这样做确实可以让安全级别更高，因为每个部分都小，不容易出问题。

但是，这个C选项说“在实际中需要选择最小粒度”，这就像是说，为了安全，我们应该把东西分得越细越好。但这样做会非常麻烦，因为管理起来会很复杂，而且没必要总这样。

第六题：安全防范

你是单位安全主管，由于微软刚发布了数个系统漏洞补丁，安全运维人员给出了针对此漏洞修补的四个建议方案，请选择其中一个最优方案执行？（）

A：由于本次发布的数个漏洞都属于高危漏洞，为了避免安全风险，应对单位所有的服务器和客户端尽快安装补丁
B：本次发布的漏洞目前尚未出现利用工具，因此不会对系统产生实质性危害，所以可以先不做处理
C：对于重要的服务，应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署✅
D：对于服务器等重要设备，立即使用系统更新功能安装这批补丁，用户终端计算机由于没有重要数据，由终端自行升级

💖解析💖

1️⃣A选项，直接在所有设备上安装补丁，可能会因为补丁和现有系统不兼容而导致问题，就像是给所有人发同一件衣服，不考虑尺寸合不合适。

2️⃣B选项，因为还没有出现利用这些漏洞的工具，就认为不需要处理，这就像是说因为没有小偷出现，就不锁门，这是不安全的。

3️⃣D选项，对于服务器这种重要设备立即更新，而对用户终端计算机则放任不管，这就像是说，只保护贵重物品，而不管其他东西，但如果来了个肤浅的小偷，只偷小东西呢？我怕我家冰箱被偷了，使劲儿的保护冰箱，死活没想到小偷来了，拿走的是你家门口的地毯。。。。

所以，C选项是最稳妥的做法，既能保证安全，又能避免不必要的麻烦。