客户身份重新识别,泄密

【www.yin56.com--安全口号】

CISP样题-含答案
篇一:客户身份重新识别,泄密

1. 以下对信息安全问题产生的根源描述最准确的是：

A. 信息安全问题是由于信息技术的不断发展造成的

B. 信息安全问题是由于黑客组织和犯罪集团追求名和利造成的

C. 信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的

D. 信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏

2. 中国信息安全测评中心对 CISP 注册信息安全专业人员有保持认证要求，在证书有效期

内，应完成至少 6 次完整的信息安全服务经历，以下哪项不是信息安全服务： A、为政府单位信息系统进行安全方案设计

B、在信息安全公司从事保安工作

C、在公开场合宣讲安全知识

D、在学校讲解信息安全课程

3. 确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，不为其

所用，是指：

A、完整性

B、可用性

C、保密性

D、抗抵赖性

4. 下列信息系统安全说法正确的是：

A．加固所有的服务器和网络设备就可以保证网络的安全

B．只要资金允许就可以实现绝对的安全

C．断开所有的服务可以保证信息系统的安全

D．信息系统安全状态会随着业务系统的变化而变化，因此网络安全状态需要根据 不同的业务而调整相应的网络安全策略

5. OSI 开放系统互联安全体系架构中的安全服务分为鉴别服务、访问控制、机密性服务、

完整性服务、抗抵赖服务，其中机密性服务描述正确的是？

A.包括原发方抗抵赖和接受方抗抵赖

B.包括连接机密性、无连接机密性、选择字段机密性和业务流保密

C.包括对等实体鉴别和数据源鉴别

D.包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完 整性、无连接完整性和选择字段无连接完整性

页码：1

6. “进不来” “拿不走” “看不懂” “改不了” “走不脱”是网络信息安全建设的

目的。其中，“看不懂”是指下面那种安全服务：

A．数据加密

B．身份认证

C．数据完整性

D．访问控制

7. 电子商务交易必须具备抗抵赖性，目的在于防止

A．一个实体假装成另一个实体

B．参与此交易的一方否认曾经发生过此次交易

C．他人对数据进行非授权的修改、破坏

D．信息从被监视的通信过程中泄漏出去

8. 下列对于 CC 的“评估保证级”（EAL）的说法最准确的是：

A.代表着不同的访问控制强度

B.描述了对抗安全威胁的能力级别

C. 是信息技术产品或信息技术系统对安全行为和安全功能的不同要求

D. 由一系列保证组件构成的包，可以代表预先定义的保证尺度 答

9. 下列哪一项准确地描述了可信计算基（TCB）？

A．TCB 只作用于固件（Firmware）

B．TCB 描述了一个系统提供的安全级别

C．TCB 描述了一个系统内部的保护机制

D．TCB 通过安全标签来表示数据的敏感性

10. 下面关于访问控制模型的说法不正确的是：

A. DAC 模型中主体对它所属的对象和运行的程序拥有全部的控制权。

B. DAC 实现提供了一个基于“need-to-know”的访问授权的方法，默认拒绝任何人的 访问。访问许可必须被显式地赋予访问者。

C．在 MAC 这种模型里，管理员管理访问控制。管理员制定策略，策略定义了哪个 主体能访问哪个对象。但用户可以改变它。

D．RBAC 模型中管理员定义一系列角色（roles）并把它们赋予主体。系统进程和 普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以 访问它。

页码：2 。

11. 安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型 中的“简单安全规则”？

A．Biba 模型中的不允许向上写

B．Biba 模型中的不允许向下读

C．Bell-LaPadula 模型中的不允许向下写

D．Bell-LaPadula 模型中的不允许向上读

12. 下列关于访问控制模型说法不准确的是？

A.访问控制模型主要有 3 种：自主访问控制、强制访问控制和基于角色的访问控制。

B.自主访问控制模型允许主体显式地指定其他主体对该主体所拥有的信息资源是否 可以访问。

C.基于角色的访问控制 RBAC 中“角色”通常是根据行政级别来定义的。

D.强制访问控制 MAC 是“强加”给访问主体的，即系统强制主体服从访问控制政 策。

13. 某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能

通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？ A．Bell-LaPadula 模型

B．Biba 模型

C．信息流模型

D．Clark-Wilson 模型

14. 下列哪一项关于 Bell-LaPadula 模型特点的描述是错误的？

A. 强调对信息保密性的保护，受到对信息保密要求较高的军政机关和企业的喜爱。

B. 既定义了主体对客体的访问，也说明了主体对主体的访问。因此，它适用于网络 系统。

C. 它是一种强制访问控制模型，与自主访问控制模型相比具有强耦合，集中式授权 的特点。

D. 比起那些较新的模型而言，Bell-LaPadula 定义的公理很简单，更易于理解，与 所使用的实际系统具有直观的联系。

15. 下列对于基于角色的访问控制模型的说法错误的是？

A. 它将若干特定的用户集合与权限联系在一起

B. 角色一般可以按照部门、岗位、工种等与实际业务紧密相关的类别来划分

C. 因为角色的变动往往远远低于个体的变动，所以基于角色的访问控制维护起来比 较便利

D. 对于数据库系统的适应性不强，是其在实际使用中的主要弱点

16. 下列哪类访问控制模型是基于安全标签实现的？

A. 自主访问控制

B. 强制访问控制

C. 基于规则的访问控制

D. 基于身份的访问控制

17. 根据 PPDR 模型：

A.一个信息系统的安全保障体系应当以人为核心，防护、检测和恢复组成一个完整 的、动态的循环

B.判断一个系统系统的安全保障能力，主要看安全策略的科学性与合理性，以及安 全策略的落实情况

C.如果安全防护时间小于检测时间加响应时间，这该系统一定是不安全的

D.如果一个系统的安全防护时间为 0，则系统的安全性取决于暴露时间

18. 下列有关密码学的说法中错误的是：

A. 密码学是研究信息系统安全保密的科学。由两个相互对立、相互斗争，而且又相 辅相成、相互促进的分支科学所组成的，分别称为密码编码学和密码分析学。

B. 密码编码学是对密码体制、密码体制的输入输出关系进行分析，以便推出机密变 量、包括明文在内的敏感数据。

C. 密码分析学主要研究加密消息的破译或消息的伪造。

D. 密码编码学主要研究对信息进行编码，实现对信息的隐蔽。

19. 非对称密码算法具有很多优点，其中不包括：

A. 可提供数字签名、零知识证明等额外服务

B. 加密/解密速度快，不需占用较多资源

C. 通信双方事先不需要通过保密信道交换密钥

D. 密钥持有量大大减少

20. 下列哪一项准确描述了哈希算法、数字签名和对称密钥算法所提供的功能？

A．身份鉴别和完整性，完整性，机密性和完整性

B．完整性，身份鉴别和完整性，机密性和可用性

C．完整性，身份鉴别和完整性，机密性

D．完整性和机密性，完整性，机密性

页码：4

21. 下列哪一种密码算法是基于大数分解难题的？

A.

B.

C.

D.

22. 一名攻击者试图通过暴力攻击来获取下列哪一项信息？

A．加密密钥

B．加密算法

C．公钥

D．密文

23. 下列哪一个是 PKI 体系中用以对证书进行访问的协议?

A.

B.

C.

D.

24. 下列哪一项信息不包含在 X.509 规定的数字证书中？

A. 证书有效期

B. 证书持有者的公钥

C. 证书颁发机构的签名

D. 证书颁发机构的私钥

25. 以下对于 IPsec 协议说法正确的是：

A. 鉴别头（AH）协议，不能加密包的任何部分

B. IPsec 工作在应用层，并为应用层以下的网络通信提供 VPN 功能

C. IPsec 关注与鉴别、加密和完整性保护，密钥管理不是 IPsec 本身需要关注的

D.在使用传输模式时，IPsec 为每个包建立一个新的包头，而在隧道模式下使用原 始包头 SSL(加密) LDAP CA IKE ECC RSA DES Diffie-Hellman

26. 下面安全套接字层协议（SSL）的说法错误的是？

A. 它是一种基于 web 应用的安全协议

B. 由于 SSL 是内嵌在浏览器中的，无需安全客户端软件，所以相对于 IPSec 更简 单易用

页码：5

反洗钱岗位自测题及答案
篇二:客户身份重新识别,泄密

第一章

一、判断改错题

1.银行从管理层到一般员工都应对反洗钱内部控制负有责任。√

2.反洗钱是一项需要自上而下推动开展才能确保实效的合规工作，高管人员给

予反洗钱工作的支持和指导是营造良好内部控制环境的关键因素之一。√

3.反洗钱内部控制可脱离银行的基本框架单独发挥作用。×

4.反洗钱内部控制的信息与交流包括获取充足的信息、有效的管理和交流以及

开辟畅通的信息反馈和报告渠道，保证发现的问题能够及时、完整地为最高层掌握。√

5.反洗钱内部控制制度应当具有权威性，任何人不得拥有不受内部控制约束的

权利。×

6.反洗钱内部控制的检查、评价部门不应当独立于内部控制制度的制定和执行

部门。×

7.在对客户身份进行识别时应在名单库中进行筛查，以及时发现客户是否被列

入制裁名单或“外国政要”名单。√

8.客户风险分类不是客户身份识别中的内容，银行可根据自身情况决定是否开

展此项工作。×

9.客户身份识别和可疑交易分析是两个不同的工作，互相独立而不联系，在对

可疑交易分析时可以不参考客户身份识别所获得的信息。×

10.只要系统中抓取出可疑交易就应上报中国人民银行，而无须进行人工分析以

筛选过滤掉实质不可疑的交易。×

11.反洗钱内部审计是银行及时发现和纠正反洗钱工作存在问题，防范合规风险

的有效手段和保障措施。√

12.对配合中国人民银行进行行政调查的客户身份资料、交易记录等均应保密。√客户身份重新识别,泄密。

13.银行反洗钱合规管理部门可以承担内部审计监督的职责。×

14.银行未按规定建立反洗钱内部控制制度且情节严重的，其直接责任人只需改

正，不必受到法律处分。√

二、不定项选择题

1.控制环境是反洗钱内部控制框架中不可缺少的要素之一，具体来讲主要包括

哪些?( A B C D E )

A.员工的专业能力B.员工的职业操守C.员工的诚信程度

D.领导层对内部控制重要性的认识和态度

E.领导层对管理内部控制制度采取的措施

2.银行建立配合反洗钱调查制度应当明确 ( A B C D )。

A.组织管理和工作流程B.账户监控措施C.保密规定D.资料保存

3.反洗钱内部审计包括哪些环节? ( A B C D )

A.检杳发现问题B.通报问题C.跟踪整改D.责任认定

4.关于银行反洗钱培训对象的说法以下正确的是 (A D E)。

A.培训对象应包括高级管理层

B.只有反洗钱岗位的人员才需要培训

C.反洗钱操作人员才应接受培训，高级管理层不接触具体业务不需要培训

D.反洗钱培训应针对不同对象提供分层次的培训

E.培训的对象是银行的全体人员

5.以下说法正确的是 ( A B D )。

A.银行应将反洗钱工作纳入本单位的业绩考核范围

B.银行可考虑对反洗钱工作定期进行评估

C.银行反洗钱牵头部门应承担对反洗钱内部控制的健全性、合理性、有效性实

施独立评估的职责

D.反洗钱保密制度应当明确保密工作的组织管理、文件和资料的保管、泄密事

件的处理以及保密责任制等相关要求

一、判断改错题

3.错误。改正:只有当反洗钱内部控制被纳入银行的基本框架并成为有效的制

衡机制时，内部控制才能产生最大的效果。

6.错误。改正:应当。

8.错误。改正:客户风险分类是客户身份识别中的重要内容，银行必须开展此

项工作。

9.错误。改正:可疑交易分析和客户身份识别两项工作相互之间有关联，在对

可疑交易分析时应参考客户身份识别所获得的信息。

10.错误。改正:对于系统中抓取出的可疑交易，应进行人工分析筛选过滤掉实

质不可疑的交易后，将真正可疑的交易上报中国人民银行。

13.错误。改正:银行反洗钱合规管理部门不能承担内部审计监督的职责。

第二章

一、判断改错

1.客户身份识别也称了解你的客户。 √

2.自然人客户的住所地与经常居住地不一致的，银行应将客户的住所作为客户身份基本信息

进行登记。 ×

3.法人、其他组织和个体工商户的组织机构代码、税务登记证号属于其身份基本信息。√

4.在与客户的业务关系存续期间，银行应当采取持续的客户身份识别措施。当客户及其交易

的风险认知程度发生变化时，银行应重心识别客户身份，及时调整其风险等级分类。以确认

身份和有关交易是否可疑。√

5.银行委托其他银行或银行以外的第三方识别客户身份的，应由受托方承担未

履行客户身份识别义务的责任。×

6.在与客户建立金融业务关系，或者为客户提供规定金额以上的一次性金融服

务时，银行应当进行客户身份识别。√

7.单位客户的票据背书、资金去向、资金规模与单位的经营范围、背景、规模

的关系是否匹配是判断客户身份是否异常的一个重要关注点。√

8.银行提供保管箱业务时，仅需了解保管箱名义使用人的身份即可。×

9.对公人民币存款类业务的识别工作主体只包括银行营业网点经办人员和经营

部门负贵人。×

10.为客户开立对公外汇账户，银行应通过外汇账户信息交互平台查询客户是否

已在开户地外汇管理局进行了基本信息登记，若未登记或登记的信息与实际情况不

一致的，不得为客户开立账户。√

11.银行为个人开户时，应通过身份证联网核查系统查询其身份证信息，如果客

户姓名、证件号码、照片或有效期不一致的，应考虑拒绝为该客户办理业务。√

12.如果客户为外国政要，金融机构为其开立账户应当经高级管理层批准。√

13.实际控制客户的自然人和交易的实际受益人员，一是公司实际控制人;二是未被客户披露

，包括(但不限于)以下两类但实际控制着金融交易过程或最终享有相关经济利益的人员(被代

理人除外)。√

14.违反客户身份识别有关规定致使洗钱后果发生的，银行可被处以50万元以

上500万元以下的罚款，直接责任人员可最高被处罚50万元。√

15.客户先前提交的身份证明文件已过有效期，客户没有在合理期限内更新且没客户身份重新识别,泄密。

有提出合理理由的，银行无权中止为客户办理业务。×

二、不定项选择题

1.法人、其他组织和个体工商户的身份基本信息包括( ABCD }

A.客户的名称、住所、经营范围、组织机构代码、税务登记证号码

B.可证明该客户依法设立或者可依法开展经营、社会活动的执照、证件或者文

件的名称、号码和有效期限

C.控股股东或者实际控制人的姓名、身份证件或者身份证明文件的种类、号码、有效期限

D.法定代表人、负责人的姓名、身份证件或者身份证明文件的种类、号码、有

效期限

2.客户身份识别的含义包括 ( ABD }

A.了解客户本人的真实身份

B.了解客户的交易目的和交易性质

D.法定代表人、负责人的姓名、身份证件或者身份证明文件的种类、号码、有效期限

2.客户身份识别的含义包括己 ( AB C D }

A.了解客户本人的真实身份

B.了解客户的交易目的和交易性质

C.了解客户的资金来源和用途

D.了解实际控制客户的自然人和交易的实际受益人

3.客户身份识别的墓本原则有 (AB C D)。

A.真实性B.有效性C.完整性D.持续性

4.银行与境外机构建立代理行或者类似业务关系时，应当采取的客户身份识别措施包括：

（AB C D）

A.充分收集有关境外金融机构的信息

B.评估境外金融机构接受反洗钱监管的情况

C.评估境外金融机构反洗钱、反恐怖触资措施的健会性和有效性

D.以书面方式明确本银行与境外金融机构在客户身份识别方面的职责

5.核对客户的有效身份证件或者其他身份证明文件，对于高风险客户、高风险账户持有人，

应了解 ( AB )等信息。

A.实际控制客户的自然人和交易的实际受益人

B.资金来源、资金用途、.经济状况或者经营状况

6.客户身份识别中的禁止性要求是指，银行不得为身份不明的客户（AB C D）

A.提供服务C.开立匿名账户B.与其进行交易D.开立假名账户

7.客户身份识别中的非面对面识别要求是指，银行利用电话、网络、ATM等自助机具以及

其他方式为客户提供非柜台方式的服务时，应采用如下哪些手段识别客户身份?( AB C )

A.实行严格的身份认证措施B.采取相应的技术保障手段C.强化内部管理程序D.弱化内部

管理程序

8.客户身份识别中的保密性要求是指，银行应 (AB C D )。

A.保护商业秘密

B.保护个人隐私

C.妥善保存客户身份识别过程中获取的客户身份信息

D.妥善保存客户身份识别过程中获取的交易信息 9.银行应采取合理方式确认代理关系的存在，在按照有关要求对被代理人采取客户身份识别措施时，应当对代理人采取哪些措施进行识别 ( A C )

A.核对代理人的有效身份证件或者身份证明文件

B.要求代理人出具经公证的委托代理书

C.登记代理人的姓名或者名称、联系方式、身份证件或者身份证明文件的种类、号码

D.登记代理人所在工作单位和地址

10.对私客户开立账户，银行应核对的客户身份证明文件包括( AB )。

A.中国公民16岁以上出示身份证和临时身份证

B. 16岁以下公民应有监护人代理开户，出具代理人身份证及使用人户口簿

C.中国公民16岁以上出示户口簿

D. 16岁以下公民出示临时身份证

11.境外对私客户开立账户时，银行应核对的身份证明文件包括 (AB C D )。

A.华侨出具中国护照

B.香港、澳门人出具港澳居民往来内地通行证

C台湾居民出具台湾居民往来大陆通行证或其他有效旅行证件

D.外国公民出具护照或外国人永久居留证，或者国家法律、法规及有关文件规定的其他有效证件

12.为境内对公客户办理一次性金融业务和以开立账户等方式建立业务关系的，若有代理人，需要提供的客户身份证明文件包括 ( AB )。

A.合法有效的授权委托书B.代理人的有效身份证件

C.合法有效的合同书D.代理人的资质证明

13.某国总统要求在某银行开立外币账户时，金融机构应采取哪些客户身份识别措施?( ACD E )

A.应当经高级管理层的批准

B.应当报告中国人民银行

C.核对客户的有效身份证件或者其他身份证明文件

D.登记客户身份基本信息

E.留存有效身份证件或者其他身份证明文件的复印件或影印件

14.一次性金融服务是指，为不在本银行机构开立账户的客户提供(AB C D )等一次性金融服务。

A.现金汇款B.现金存款C.现钞兑换D.票据兑付

15.银行应对(A C )交易金额的一次性金融服务进行客户身份识别。

A.单笔人民币1万元以上

B.单笔人民币10万元以上

C.单笔外汇等值1 000美元以上

D.单笔外汇等值10 000美元以上

16.一次性金融服务识别要点包括(AB C D)。

A.了解实际控制客户的自然人和交易的实际受益人

B.核对客户的有效身份证件或者其他身份证明文件

C.登记客户身份基本信息

D.留存有效身份证件或其他身份证明文件的复印件或影印件

17.商业银行为客户将5 000美元现钞兑换成英镑时，应当识别客户身份，并采取以下哪些

措施( AB C E )

A.核对客户的有效身份证件或者其他身份证明文件

B.登记客户身份基本信息

C.留存有效身份证件或者其他身份证明文件的复印件或影印件

D.如果客户为外国政要，应当经高级管理层的批准

E.了解实际控制客户的自然人和交易的实际受益人

18.商业银行为客户提供哪种服务时，应当识别客户身份，并核对客户的有效身份证件或者其他身份证明文件，登记客户身份基本信息，留存有效身份证件或者其他身份证明文件的复印件或影印件? ( B )

A.将3 000美元现钞结汇入客户的人民币账户

B.将1 000美元现钞结汇

C.张三转账18万元到李四账户

D.提取现金6万元

19.开立对公人民币活期存款账户及定期存款账户的识别主体为 ( AB C D )

A.银行营业网点经办人员B.客户经理

C.经营部门负责人D.其他相关业务人员

20.申请开立基本存款账户的，银行应按照客户性质和类型，要求客户出具以下证明文件(

B C D )。

A.企业法人，应出具企业法人营业执照、企业组织机构代码证正本

B.非法人企业，应出具企业法人营业执照、企业组织机构代码证正本

C.机关和实行预算管理的事业单位，应出具政府人事部门或编制委员会的批

或事业单位法人证书和财政部门同意其开户的证明

D.非预算管理的事业单位，应出具政府人事部门或编制委员会的批文或登

证书

21.重新识别客户身份后，对于客户洗钱风险等级，银行应( C )。

A.不必调整客户洗钱风险等级

B.定期调整客户洗钱风险等级

C.及时调整客户洗钱风险等级

D.下一次办理业务时调攀客户洗钱风险等级

22.对资本项目外汇账户使用的合规性方面，银行应审查( ( AB C D )。

A.外汇资本金账户的资金贷方发生额是否超过规定的最高限额

B.资产存量变现外汇账户的收入是否为对公客户转让现有资产收入的外汇

C.资产存量变现外汇账户的支出是否为经批准的用途

D. B股专户收入为境外法人或自然人买卖股票收入的外汇和境外汇入或携

外汇，支出为用于买卖股票

23.对于国际结算业务，银行应( AC D )。
客户身份识别制度

本文来源：http://www.yin56.com/kouhao/99379/