信息安全工程 信息系统安全工程过程共46页

信息安全等级保护管理办法(新版)Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production.( 安全管理 )单位：______________________姓名：______________________日期：______________________编号：AQ-SN-0657信息安全等级保护管理办法(新版)第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

SSE-CMMSSE-CMM的内涵SSE-CMM为Systems security engineering Capability maturity model的缩写。

中文名称为系统安全工程能力成熟模型。

SSE-CMM是一个过程参考模型。

SSE-CMM的目的不是规定组织使用的具体过程,更不必说具体的方法。

而是希望准备使用SSE-CMM的组织利用其现有的过程——那些以其他任何信息技术安全指导文件为基础的过程。

本标准的范围包括：涉及整个生存周期的安全产品或可信系统的系统安全工程活动：概念定义、需求分析、设计、开发、集成、安装、运行、维护以及最终退役；对产品开发商、安全系统开发和集成商,以及提供计算机安全服务和计算机安全工程组织的要求；适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。

SSE-CMM（系统安全工程能力成熟模型）简介过去人们在开发安全系统过程中往往只重视产品或系统本身的标准化问题，但却忽视了开发过程本身的标准化问题。

如何提高开发过程的能力，如何使过程本身标准化、规范化，越来越引起人们的重视。

为了改变这种状况，一个不同于以往的概念逐渐被接受，即一个系统或产品的性能取决于其过程能力［1］。

系统安全工程能力成熟模型（SSE-CMM）的构想是在1993 年4月由美国国家安全局（NSA）提出来的。

在美国国家安全局、美国国防部、加拿大通信安全局的号召和推动下，汇聚了超过60 个厂家，集中了大量的人力、物力和财力对该构想进行了开发实施，并于1996 年10 月出版了SSE-CMM模型的第一个版本，1997 年4 月出版了评定方法SSAM 的第一个版本；1999 年4 月发布了SSECMM和SSAM 的2.0 版本［2］。

SSE-CMM模型通过“过程能力”这一指标来对工程队伍的能力进行评估。

“过程能力”是通过执行这一过程，所得到的结果之质量的变化范围。

其变化的范围越小，执行该过程的队伍越“成熟”。

注册信息安全专业人员（CISP）知识体系大纲发布日期：2009年5月1日版本：1.2中国信息安全测评中心©版权2009—中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件，请与中国信息安全测评中心信息系统测评服务部接洽。

在中国信息安全测评中心网址：上可获取本文件。

版权©版权2008—中国信息安全测评中心联系信息关于中国信息安全测评中心（CNITSEC）信息安全人员培训相关的更多信息，请与中国信息安全测评中心（CNITSEC）联系：联系方式：中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电话】【传真】(010)【电子邮件】目录目录.................................................................................................................. I I 图表. (IV)注册信息安全专业人员（CISP）知识体系介绍 (1)第1 章注册信息安全专业人员（CISP）知识体系概述 (2)1.1 CISP资质证书介绍 (2)1.2 CISP知识体系介绍 (2)1.2.1 概述 (2)1.2.2 CISP知识体系框架结构介绍 (4)1.2.3 CISP（CISE/CISO/CISA）考试的知识体系结构介绍 (6)第2 章知识类：信息安全体系和模型 (8)2.1 概述 (8)2.2 原理说明 (9)2.2.1 概述 (9)2.2.2 知识体：安全体系 (9)2.2.3 知识体：信息安全模型 (11)2.3 知识体系大纲 (12)2.3.1 BD（知识体）：信息安全体系 (12)2.3.2 BD（知识体）：信息安全模型 (12)第3 章知识类：信息安全技术 (14)3.1 概述 (14)3.2 原理说明 (14)3.2.1 概述 (14)3.2.2 知识体：信息安全技术机制 (15)3.2.3 知识体：信息和通信技术（ICT）安全 (16)3.2.4 知识体：信息安全实践 (17)3.3 知识体系大纲 (18)3.3.1 BD（知识体）：信息安全技术机制 (18)3.3.2 BD（知识体）：信息和通信技术（ICT）安全 (19)3.3.3 BD（知识体）：信息安全实践 (21)第4 章知识类：信息安全管理 (23)4.1 概述 (23)4.2 原理说明 (23)4.2.1 概述 (23)4.2.2 知识体：安全管理体系 (24)4.2.3 知识体：关键安全管理过程 (24)4.3 知识体系大纲 (25)4.3.1 BD（知识体）：安全管理基础 (25)4.3.2 BD（知识体）：关键安全管理过程 (26)第5 章知识类：信息安全工程 (28)5.1 概述 (28)5.2 原理说明 (28)5.2.1 概述 (28)5.2.2 知识体：安全工程基础 (29)5.2.3 知识体：安全工程过程和实践 (29)5.2.4 知识体：项目管理过程和实践 (30)5.3 知识体系大纲 (30)5.3.1 BD（知识体）：安全工程基础 (30)5.3.2 BD（知识体）：安全工程过程和实践 (30)5.3.3 BD（知识体）：项目管理过程和实践 (30)第6 章知识类：信息安全标准和法律法规 (31)6.1 概述 (31)6.2 原理说明 (31)6.3 知识体系大纲 (32)6.3.1 BD（知识体）：概述 (32)6.3.2 BD（知识体）：信息系统相关标准 (32)6.3.3 BD（知识体）：道德规范 (32)6.3.4 BD（知识体）：信息安全标准 (32)6.3.5 BD（知识体）：信息安全法律法规 (33)图表图表1-1：CISP知识体系的组件模块结构 (4)图表1-2：CISP知识体系结构框架 (6)图表2-1：信息安全体系和模型知识类（PT）的知识体系结构概述 (8)图表2-2：信息安全体系和模型知识类（PT）的知识体系结构详细描述 (9)图表2-3：知识体-安全体系原理：信息安全保障模型 (10)图表2-4：知识体：安全模型原理说明 (11)图表3-1：信息安全技术知识类（PT）的知识体系结构概述 (14)图表3-2：知识体：信息安全技术机制原理说明 (16)图表3-3：知识体：信息和通信技术（ICT）安全原理说明 (17)图表3-4：知识体：信息安全实践原理说明 (18)图表4-1：信息安全管理知识类（PT）的知识体系结构概述 (23)图表4-2：知识体：安全管理体系说明 (24)图表4-3：知识体：关键安全管理过程原理说明 (25)图表5-1：信息安全工程知识类（PT）的知识体系结构概述 (28)图表5-2：信息系统安全工程标准背景 (29)图表6-1：信息安全标准和法律法规知识类（PT）的知识体系结构概述 (31)注册信息安全专业人员（CISP）知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员（CISP）考试大纲的结构和内容。

xx有限公司记录编号005创建日期2015年8月16日信息系统安全风险评估报告文档密级更改记录时间更改内容更改人项目名称：XXX风险评估报告被评估公司单位：XXX有限公司参与评估部门：XXXX委员会一、风险评估项目概述1.1工程项目概况1.1.1建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间201X年8月5日项目试运行时间2015年1-6月1.2风险评估实施单位基本情况评估单位名称XXX有限公司二、风险评估活动概述2.1风险评估工作组织管理描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。

2.2风险评估工作过程本次评估供耗时2天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。

1.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有：序号法律、法规及其他要求名称颁布时间实施时间颁布部门全国人大常委会关于维护互联12000.12.282000.12.28全国人大常委会网安全的决定中华人民共和国计算机信息系21994.02.181994.02.18国务院第147号令统安全保护条例中华人民共和国计算机信息网31996.02.011996.02.01国务院第195号令络国际联网管理暂行规定中华人民共和国计算机软件保42001.12.202002.01.01国务院第339号令护条例中华人民共和国信息网络传播52006.05.102006.07.01国务院第468号令权保护条例中华人民共和国计算机信息网国务院信息化工作领导61998.03.061998.03.06络国际联网管理暂行规定实施小组办法计算机信息网络国际联网安全71997.12.161997.12.30公安部第33号令保护管理办法计算机信息系统安全专用产品81997.06.281997.12.12公安部第32号令检测和销售许可证管理办法9计算机病毒防治管理办法2000.03.302000.04.26公安部第51号令10恶意软件定义2007．06.272007．06.27中国互联网协会11抵制恶意软件自律公约2007．06.272007．06.27中国互联网协会计算机信息系统保密管理暂行121998.2.261998.02.26国家保密局规定计算机信息系统国际联网保密132000.01.012000.01.01国家保密局管理规定中华人民共和国工业和14软件产品管理办法2000.10.082000.10.08信息化部互联网等信息系统网络传播视152004.06.152004.10.11国家广播电影电视总局听节目管理办法16互联网电子公告服务管理规定2000.10.082000.10.08信息产业部信息系统工程监理工程师资格172003年颁布2003.03.26信息产业部管理办法信息系统工程监理单位资质管182003.03.262003.04.01信息产业部理办法19电子认证服务管理办法2009.02.042009.03.31信息产业部关于印发《国家电子信息产业基中华人民共和国信息产202008.03.042008.03.04地和产业园认定管理办法（试业部行）》的通知21计算机软件著作权登记收费项1992.03.161992.04.01机电部计算机软件登记办目和标准公室22中国互联网络域名管理办法2004.11.052004.12.20信息产业部全国人民代表大会常务委23中华人民共和国专利法2010.01.092010.02.01员24中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请的规定2010.08.272010.10.01国家知识产权局26中华人民共和国著作权法2010.02.262010.02.26全国人大常委会中华人民共和国著作权法实施272002.08.022002.9.15国务院第359号令条例28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令中华人民共和国保守国家秘密312010.04.292010.10.01全国人大常委会法32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会中华人民共和国商用密码管理331999.10.071999.10.07国务院第273号令条例34消防监督检查规定2009.4.302009.5.1公安部第107号中华人民共和国公安部35仓库防火安全管理规则1990.03.221994.04.10令第6号36地质灾害防治条例2003.11.242004.03.01国务院3９4号国家电力监管委员会第2 37《电力安全生产监管办法》2004.03.092004.03.09号华人民共和国主席令第二38中华人民共和国劳动法2007.06.292008.1.1十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放2001.10.262001.01.01劳动和社会保障部中华人民共和国企业劳动争议411993.06.111993.08.01国务院处理条例1.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限制条件。

信息系统代码安全测评与监理信息系统安全测评是保障信息系统安全工程质量的必要技术措施之一。

通过安全测评，检查系统的设计、集成、安全策略的整体规划和设计、安全管理的具体实施、安全监控的各种策略以及日常操作安全和安全应急响应等各个方面，降低系统的安全风险。

信息系统安全测评在监理中的作用对信息系统安全工程而言，由于其复杂度和专业化程度很高，对它的效果评价就显得尤为重要。

在这方面，北京市率先以政府令的形式提出了“投资200万元以上的重大信息化工程建设项目必须通过系统安全测评，否则不得投入使用”。

在工程验收阶段，信息系统安全测评的作用是为安全监理提供必要的信息系统安全性评价依据。

信息系统安全专业测评机构出具的安全测评报告有助于监理单位及时发现信息系统中存在的安全缺陷和安全隐患，以便监理单位及时和信息系统承建单位协调，按照系统安全目标提出整改意见，以期系统按照标准达到预期的、满足建设单位需求的和国家有关规范的安全指标。

信息安全测评标准近几年，随着人类对信息网络设施依赖程度的提高和信息安全形势的日益严峻，世界各国都在加紧出台信息安全评估标准。

目前，国外主要的信息安全标准包括：（1）美国TCSEC（可信计算机系统评估准则）：该标准是美国国防部于1985年制定的，为计算机安全产品的测评提供了测试和方法，指导信息安全产品的制造和应用。

它将安全分为4个方面（安全政策、可核查性、安全保证和文档）和7个安全级别（从低到高依次为D、C1、C2、B1、B2、B3和A级）。

（2）欧洲ITSEC（信息技术安全评估准则）：1991年，西欧四国（英、法、德、荷）提出了信息技术安全评价准则（ITSEC），ITSEC首次提出了信息安全的保密性、完整性、可用性概念，把可信计算机的概念提高到可信信息技术的高度上。

它定义了从E0级（不满足品质）到E6级（形式化验证）的7个安全等级和10种安全功能。

（3）美国联邦准则FC（信息技术安全性评价联邦准则）：1993年，美国发布了“信息技术安全性评价联邦准则”（FC）。

X市X税务X网络安全应知应会试题一、单项题1.《中华人民共和国网络安全法》施行时间（B）。

A.2016年11月7日B.2017年6月1日C.2016 年12 月31 日D.2017年1月1日2.所有网络产品、服务应当符合相关（A）的强制性要求。

A国家标准B行业标准C企业标准D法律3.“网络空间主权”是我国（A）首次提出的概念。

A.《国家安全法》B.《网络安全法》C.《宪法》D.《刑法》4.国家（B）负责统筹协调网络安全工作和相关监督管理工作。

A.公安部门B.网信部门C.工业和信息化部门D.通讯管理部门5.《网络安全法》规定，网络运营者应当制定(A),及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

A.网络安全事件应急预案B.网络安全事件补救措施C.网络安全事件应急演练方案D.网站安全规章制度6.关键信息基础设施的运营者应当自行或者委托网络安全服务机构(B)对其网络的安全性和可能存在的风险检测评估。

A.至少半年一次B.至少一年一次C.至少两年一次D.至少每年两次7.计算机病毒是一种(A )，它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，随同文件一起蔓延。

A.计算机程序B.数据C.临时文件D.应用软件8.在网络安全领域中，我们常说的“钓鱼网站”是指（A ），它一般通过电子邮件、短信传播，不法分子通过它来窃取用户提交的银行账号、密码等私密信息，严重危害公众利益。

A.假冒网站B.钓鱼游戏网站C.病毒网站D.钓鱼论坛9.税务人员在使用移动存储介质前，（D）。

A.直接使用B.不得使用移动存储介质C.只能使用品牌的移动存储介质D.首先要对其进行病毒查杀，以避免病毒通过移动存储介质进行传播。

10.下列哪个措施是正确的（D）。

A.离开个人办公室时，终端计算机可以不锁定B.信息系统的账户和密码应妥善保存在桌面上C.领导带人参观机房不需要登记D.设备进出机房应建立台账11.以下哪种行为会造成违规外联（C）。

信息安全工程师岗位要求
信息安全工程师是负责企业或组织的信息系统和数据安全的专业人员。

随着互联网的普及和信息化进程的加快，信息安全问题成为企业发展过程
中最关键和最重要的问题之一、在这样的背景下，信息安全工程师的岗位
也日益受到重视。

以下是信息安全工程师岗位的主要要求。

1.学历和专业背景要求：
2.基本技能和知识要求：
信息安全工程师需要具备扎实的计算机基础知识和编程技能，熟悉各
类操作系统、网络协议和网络安全技术。

对于信息安全常见的攻击手段和
防御策略有深入的理解和应用能力。

同时，了解数据库、网站和系统安全
策略和安全加固方法。

3.安全技术和工具的掌握：
信息安全工程师需要熟练掌握各种常用的安全技术和工具，包括但不
限于防火墙、入侵检测和防御系统、安全审计和监控系统、加密和解密技术、安全认证和访问控制技术等。

能够根据企业或组织的实际情况选择和
应用适当的安全技术和工具。

4.漏洞分析和漏洞利用的能力：
5.安全策略的制定和执行：
6.监控和应急响应能力：
7.团队合作和沟通能力：
8.持续学习和不断更新知识：
信息安全领域的技术和攻击手段在不断发展和更新，信息安全工程师需要具备持续学习的意识和能力，保持对新技术和新方法的学习和掌握，不断提升自己的技术水平和知识储备。

总之，信息安全工程师需要具备广泛的基础知识和技能，同时还需要具备较高的安全意识和责任感，能够保护企业或组织的信息系统和数据安全。

这是一个重要而挑战性的岗位，需要持续学习和不断提升自己的能力来适应和应对不断变化的安全威胁。

铁路建设项目管理信息系统V2.0 Railway Construction Project Management Information System实施指导手册之五投资管理铁道部信息技术中心2007年3月目录第一章理论概述在批准的投资限额内完成工程项目建设是工程项目管理的目标之一。

所谓投资管理，就是采用科学的方法，在与质量、进度、安全、环保目标协调的基础上，为保证工程建设顺利实施和提高投资效益、资金使用效率，确保实现投资目标而进行的一系列管理活动。

投资管理的主要内容是确定投资目标、进行项目投资的计划管理、统计管理和概算对照等。

计划管理的功能是依据上级下达的投资计划和工程的进度要求，合理安排工程进度和投资计划，综合平衡各种资源配置，以保证建设项目总体目标和阶段目标的实现。

支持建设单位进行计划的编报、下达、调整和对执行情况进行检查、监督和考核。

统计管理的功能是按照铁道部的现行规定和项目的实际情况，支持建设单位规范、及时、准确地进行项目投资方面的统计工作。

包括规范项目的统计范围、指标体系、统计口径和计算方法，及时、准确地统计、分析和反映建设规模、投资结构、工程进展、投资效果等方面的情况和问题。

充分发挥投资管理在工程项目建设中的支持和监督作用。

概算对照的功能是为建设单位提供招标概算、鉴修概算与合同进行收支分析，支持建设单位及时把握验工计价及支付情况、掌握资金流动和投资控制情况。

投资管理的依据是：（1）国家和相关部委颁布的有关建设、投资、财务、计划、统计和审计等方面的法律、法规和相关规定。

（2）建设项目的总体目标和阶段目标，上级下达的项目投资总额、年度投资计划，以及工程进度计划等。

（3）铁道部和地方政府、项目投资人和建设单位及其上级单位的报表需求。

第二章系统介绍2.1 系统设计原理（1）工程建设投资计划管理工作应遵循“统筹安排，静态控制，动态管理，各负其责”的原则，对计划的编报、下达、调整和对执行情况进行检查监督和考核。

《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）（“第九条计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”）计算机信息系统安全保护等级划分准则（GB 17859-1999）（“第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级”）国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）关于信息安全等级保护工作的实施意见（公通字[2004]66号）信息安全等级保护管理办法（公通字[2007]43号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安[2009]1429号）中华人民共和国网络安全法（2017年6月1日发布）十大重要标准计算机信息系统安全等级保护划分准则（GB 17859-1999）（基础类标准）信息系统安全等级保护实施指南（GB/T 25058-2010）（基础类标准）信息系统安全保护等级定级指南（GB/T 22240-2008）（应用类定级标准）信息系统安全等级保护基本要求（GB/T 22239-2008）（应用类建设标准）信息系统通用安全技术要求（GB/T 20271-2006）（应用类建设标准）信息系统等级保护安全设计技术要求（GB/T 25070-2010）（应用类建设标准）信息系统安全等级保护测评要求（GB/T 28448-2012）（应用类测评标准）信息系统安全等级保护测评过程指南（GB/T 28449-2012）（应用类测评标准）信息系统安全管理要求（GB/T 20269-2006）（应用类管理标准）信息系统安全工程管理要求（GB/T 20282-2006）（应用类管理标准）其它相关标准GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/T 20985-2007 信息安全技术信息安全事件管理指南GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南GB/T 20988-2007 信息安全技术信息系统灾难恢复规范信息系统安全等级保护三、二级评测内容等级保护自上而下分别为：类、控制点和项。

网络安全考试卷31.系统安全工程不包含以下哪个过程类：答案：（）.A、工程过程类B、组织过程类C、管理过程类(正确答案)D、项目过程类2.下列哪一项是虚拟专用网络（VPN）的安全功能？答案：（）.A、验证，访问控制和密码B、隧道，防火墙和拨号C、加密，鉴别和密钥管理(正确答案)D、压缩，解密和密码3.下述选项中对于“风险管理”的描述正确的是：答案：（）.A、安全必须是完美无缺、面面俱到的B、最完备的信息安全策略就是最优的风险管理对策C、在应对信息安全风险时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍(正确答案)D、防范不足就会造成损失E、防范过多就可以避免损失4.信息安全管理者需要完成方方面面的繁杂工作，这些日常工作根本的目标是：答案：（）.A、避免系统软硬件的损伤B、监视系统用户和维护人员的行为C、保护组织的信息资产(正确答案)D、给入侵行为制造障碍，并在发生入侵后及时发现、准确记录5.一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的规范的定义？答案：（）.A、2级——计划和跟踪B、3级——充分定义(正确答案)C、4级——量化控制D、5级——持续改进6.在某个攻击中，由于系统用户或系统管理员主动泄露，使得攻击者可以访问系统资源的行为被称作：答案：（）.A、社会工程(正确答案)B、非法窃取C、电子欺骗D、电子窃听7.以下关于windows SAM（安全账号管理器）的说法错误的是：答案：（）.A、安全账号管理器（SAM）具体表现就是%SystemRoot%system32configsamB、安全账号管理器（SAM）存储的账号信息是存储在注册表中C、安全账号管理器（SAM）存储的账号信息对administrator和system是可读和可写的(正确答案)D、安全账号管理器（SAM）是windows的用户数据库，系统远程通过Security Accounts Manager服务进行访问和操作8.在UNIX系统中输入命令“ls -al test”显示如下“-rwxr-xr-x 3 rool root 1024 Sep 13 11 58 test”对它的含义解释错误的是：答案：（）.A、这是一个文件，而不是目录B、文件的拥有者可以对这个文件进行读、写和执行的操作C、文件所属组的成员有可以读它，也可以执行它D、其它所有用户只可以执行它(正确答案)9.在PDCA模型中，ACT（处置）环节的信息安全管理活动是：答案：（）.A、建立环境B、实施风险处理计划C、持续的监视与评审风险D、持续改进信息安全管理过程(正确答案)10.Windows系统下，哪项不是有效进行共享安全的防护措施？答案：（）.A、使用net share 127.0.0.1 /delete 命令，删除系统中的等管理共享，并重启系统(正确答案)B、确保所有的共享都有高强度的密码防护C、禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值D、安装软件防火墙阻止外部对共享目录的连接11.我国信息安全标准化技术委员会（TC260）目前下属6个工作组，其中负责信息安全管理的小组是：答案：（）.A、WG 1B、WG 7(正确答案)C、WG 3D、WG 512.以下哪个攻击步骤是IP欺骗（IP Spoof）系列攻击中最关键和难度最高的？答案：（）.A、对被冒充的主机进行拒绝服务攻击，使其无法对目标主机进行响应B、与目标主机进行会话，猜测目标主机的序号规则(正确答案)C、冒充受信主机想目标主机发送数据包，欺骗目标主机D、向目标主机发送指令，进行会话操作13.触犯新刑法285条规定的非法侵入计算机系统罪可判处答案：（）.A、三年以下有期徒刑或拘役(正确答案)B、1000元罚款C、三年以上五年以下有期徒刑D、10000元罚款14.ISO27002、ITIL和COBIT在IT管理内容上各有优势、但侧重点不同，其各自重点分别在于：答案：（）.A、IT安全控制、IT过程管理和IT控制和度量评价(正确答案)B、IT过程管理、IT安全控制和IT控制和度量评价C、IT控制和度量评价、IT安全控制和IT安全控制D、IT过程管理、IT控制和度量评价、IT安全控制15.下列哪一项不是信息安全漏洞的载体？答案：（）.A、网络协议B、操作系统C、应用系统D、业务数据(正确答案)16.下面哪一项是对IDS的正确描述？答案：（）.A、基于特征（Signature-based）的系统可以检测新的攻击类型B、基于特征（Signature-based）的系统比基于行为（behavior-based）的系统产生更多的误报C、基于行为（behavior-based）的系统维护状态数据库来与数据包和攻击相匹配D、基于行为（behavior-based）的系统比基于特征（Signature-based）的系统有更高的误报(正确答案)17.下面对访问控制技术描述最准确的是：答案：（）.A、保证系统资源的可靠性B、实现系统资源的可追查性C、防止对系统资源的非授权访问(正确答案)D、保证系统资源的可信性18.以下关于CC标准说法错误的是：答案：（）.A、通过评估有助于增强用户对于IT产品的安全信息B、促进IT产品和系统的安全性C、消除重复的评估D、详细描述了安全评估方法学(正确答案)19.下列哪一项与数据库的安全有直接关系？答案：（）.A、访问控制的粒度(正确答案)B、数据库的大小C、关系表中属性的数量D、关系表中元组的数量20.以下哪一项不是应用层防火墙的特点？答案：（）.A、更有效的阻止应用层攻击B、工作在OSI模型的第七层C、速度快且对用户透明(正确答案)D、比较容易进行审计21.WPA2 包含下列哪个协议标准的所有安全特性？答案：（）.A、IEEE 802.11（ B ）.B、IEEE 802.11（ C ）.C、IEEED、IEEE 802.11i(正确答案)22.时间戳的引入主要是为了防止数据的答案：（）.A、死锁B、丢失C、重放(正确答案)D、拥塞23.根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中确立安全的置信度,并且把这样的置信度传递给顾客答案：（）.A、保证过程(正确答案)B、风险过程C、工程和保证过程D、安全工程过程24.下面对PDCA模型的解释不正确的是：答案：（）.A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动B、是一种可以应用于信息安全管理活动持续改进的有效实践方法C、也被称为“戴明环”D、适用于对组织整体活动的优化，不适合单个的过程以及个人(正确答案)25.以下哪项是对抗ARP欺骗有效的手段？答案：（）.A、使用静态的ARP缓存(正确答案)B、在网络上阻止ARP报文的发送C、安装杀毒软件并更新到最新的病毒库D、使用Linux系统提高安全26.下面对于信息安全事件分级的说法正确的是？答案：（）.A、对信息安全事件的分级可以参考信息系统的重要程度、系统遭受的损失大小和应急成本三个要素B、判断信息系统和重要程度主要考虑其用户的数量C、根据信息安全事件的分级考虑要是，将信息安全事件划分为：特别重大事件、重大事件、较大事件和一般事件四个级别(正确答案)D、信息安全事件分级可以完全由用户自行完成27.以下关于Linux 超级权限的说明，不正确的是：答案：（）.A、一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户来操作完成B、普通用户可以通过su和sudo来获得系统的超级权限C、对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才能进行(正确答案)D、root是系统的超级用户，无论是否为文件和程序的所有者都具有访问权限28.信息安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项安全策略文档中不包含的内容：答案：（）.A、说明信息安全对组织的重要程度B、介绍需要符合的法律法规要求C、信息安全技术产品的选型范围(正确答案)D、信息安全管理责任的定义29.以下哪个不是SDL的思想之一？答案：（）.A、SDL是持续改进的过程，通过持续改进和优化以适用各种安全变化，追求最优效果B、SDL要将安全思想和意识嵌入到软件团队和企业文化中C、SDL要实现安全的可度量性D、SDL是对传统软件开发过程的重要补充，用于完善传统软件开发中的不足(正确答案)30.组成IPSec的主要安全协议不包括以下哪一项？答案：（）.A、ESPB、DSS(正确答案)C、IKED、AH31.依据国家标准GB/T20274《信息系统安全保障评估框架》，在信息系统安全目标中，评估对象包括哪些内容？答案：（）.A、信息系统管理体系、技术体系、业务体系B、信息系统整体、信息系统安全管理，信息系统安全技术和信息系统安全工程(正确答案)C、信息系统安全管理、信息系统安全技术和信息系统安全工程D、信息系统组织机构、管理制度、资产32.以下关于“最小特权”安全管理原则理解正确的是：答案：（）.A、组织机构内的敏感岗位不能由一个人长期负责B、对重要的工作进行分解，分配给不同人员完成C、一个人有且仅有其执行岗位所足够的许可和权限(正确答案)D、防止员工由一个岗位变动到另一个岗位，累积越来越多的权限33.下面哪一项不是IDS的主要功能：答案：（）.A、监控和分析用户和系统活动B、统一分析异常活动模式C、对被破坏的数据进行修复(正确答案)D、识别活动模式以反映已知攻击34.ISSE《信息系统安全工程》是美国发布的IATF3.0版本中提出的设计和实施信息系统。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题目：信息安全的基本要素包括哪些？A、保密性、完整性、可用性B、可靠性、稳定性、安全性C、易用性、效率性、可维护性D、准确性、一致性、可追溯性2、题目：以下哪项不是网络安全威胁的类型？A、病毒感染B、拒绝服务攻击（DoS）C、物理安全威胁D、信息泄露3、关于信息安全基本原则中的“安全审计”原则，以下描述正确的是（）。

A、侧重于提供系统报警和安全日志，以及定期审查这些记录来发现安全事件。

B、侧重于保护信息系统的保密性、完整性和可用性。

C、侧重于网络和系统防御外部攻击的各种技术措施。

D、侧重于确保用户的身份认证和访问控制。

4、下列关于信息安全技术的描述中，不正确的是（）。

A、防火墙能够有效保护网络边界，但不能防御来自内部网络的威胁。

B、CA认证中心负责发放和管理数字证书，用于确认用户的身份信息。

C、入侵检测系统的基础原理是比对正常行为模式和异常行为模式，识别入侵行为。

D、数据加密技术可以通过增加数据的复杂性，使数据在未经授权的情况下难以理解其内容。

5、在信息安全领域，以下哪种不是常见的攻击类型？A. SQL注入B. 社会工程学C. 文件共享D. 密码破解6、在信息安全评估中，以下哪个阶段不会直接生成风险管理报告？A. 风险识别B. 风险分析C. 风险评估D. 风险应对7、在信息安全领域，以下哪项技术不属于密码学的基本技术？A. 对称加密B. 非对称加密C. 加密哈希D. 数据库加密技术8、以下哪个选项描述了信息安全风险评估的典型步骤？A. 风险识别、风险分析、风险评价、风险应对B. 风险识别、风险应对、风险分析、风险评价C. 风险分析、风险识别、风险评价、风险应对D. 风险评价、风险识别、风险分析、风险应对9、以下哪项不是信息安全的基本原则？•A、最小权限原则•B、纵深防御原则•C、数据完整性原则•D、全面覆盖原则 10、关于密码学中的对称加密和非对称加密，以下说法错误的是？•A、对称加密使用相同的密钥进行加密和解密•B、非对称加密使用一对密钥（公钥和私钥），公钥用于加密，私钥用于解密•C、对称加密算法常见的有AES、DES等，非对称加密算法常见的有RSA、ECC等•D、对称加密的密钥管理比非对称加密困难，因为需要一个安全地分发密钥的渠道11、题目：在信息安全领域，以下哪项技术不是密码学的基础技术？A. 对称加密B. 非对称加密C. 消息摘要D. 数字水印12、题目：以下关于信息安全风险管理的描述，不正确的是：A. 信息安全风险是指信息安全事件对组织损害的可能性B. 风险评估是信息安全风险管理过程中的一个重要步骤C. 信息安全风险管理旨在降低和防范信息安全风险D. 风险应对措施包括风险规避、风险转移、风险接受和风险减轻13、题干：在信息安全领域中，以下哪项不属于常见的威胁类型？A. 恶意软件B. 网络攻击C. 物理安全D. 数据泄露14、题干：以下哪个协议是用来实现网络数据传输加密的？A. SSL/TLSB. FTPC. SMTPD. HTTP15、信息安全风险管理框架通常包括哪四个阶段？（多项选择）A、识别B、分析C、反应D、控制16、在ISO/IEC 27001标准中，信息安全管理体系（Information Security Management System, ISMS）的核心要素有哪些？A、信息安全目标B、信息安全政策C、信息安全风险管理D、信息安全组织17、下述哪项不属于信息安全中的物理安全措施？A、屏蔽电缆以防止电磁干扰B、定期清洁计算机以防止灰尘积累C、加密通信数据以保证传输安全D、使用报警系统防止非法入侵18、以下哪种病毒会被称为“蠕虫”？A、特洛伊木马B、宏病毒C、垃圾邮件病毒D、网络蠕虫病毒19、以下哪种加密算法在信息安全领域中主要用于身份验证？A. DESB. RSAC. SHA-256D. MD5 20、在网络安全中，以下哪项措施属于被动攻击？A. 数据篡改B. 中间人攻击C. 拒绝服务攻击D. 监听通信内容21、SSL 协议是 Secure Socket Layer (安全套接层) 的简称，是保证互联网上信息传输安全的一种通信协议，主要提供了识别服务器身份和数据的保密性等功能。

网络安全管理员-中级工考试模拟题（含答案）一、单选题（共49题，每题1分，共49分）1.变更实施完后，由变更主管汇总相应的配置项修改信息，并通知相应的（），配置管理员接收到配置项修改请求后，与配置项实体进行核对，核对无误后方可修改配置项属性以及关系，同时将配置项与变更记录进行关联。

A、系统管理员B、变更管理员C、配置管理员D、问题管理员正确答案：C2.应配备集中运行监控系统实现对所有服务器、网络设备、安全设备、数据库、中间件、应用系统的（）。

A、单独控制B、集中监控C、分散监控D、集中测试正确答案：B3.公司信息部是信息系统运行维护的（）。

A、监督部门B、归口管理部门C、责任部门D、执行部门正确答案：B4.安全等级是国家信息安全监督管理部门对计算机信息系统（）的确认。

A、安全保护能力B、规模C、网络结构D、重要性正确答案：D5.DOS攻击不会破坏的是（）A、合法用户的使用B、账户的授权C、服务器的处理器资源D、网络设备的带宽资源正确答案：B6.为了防止第三方偷看或篡改用户与Web服务器交互的信息，可以采用（）。

A、在客户端加载数字证书B、将服务器的IP地址放入可信任站点区C、将服务器的IP地址放入受限站点区D、SSL技术正确答案：D7.第三层交换技术中，基于核心模型解决方案的设计思想是（）。

A、主要提高计算机的速度B、主要提高关键节点处理速度C、路由一次，随后交换D、主要提高路由器的处理器速度正确答案：B8.系统定级、安全方案设计、产品采购等是A、数据安全B、系统建设管理C、主机安全D、系统运维正确答案：B9.下列哪项不是综合布线系统工程中，用户需求分析必须遵循的基本要求。

A、制定详细的设计方案B、多方征求意见C、主要考虑近期需求，兼顾长远发展需要D、确定工作区数量和性质正确答案：B10.数据完整性指的是（）A、确保数据是由合法实体发出的B、防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致C、对通信双方的实体身份进行鉴别D、对数据进行处理，防止因数据被截获而造成泄密正确答案：B11.下列密码存储方式中，（）是比较安全的。

一、单项选择题（1-605）1、Chinese Wall 模型的设计宗旨是：（A）。

A、用户只能访问哪些与已经拥有的信息不冲突的信息B、用户可以访问所有信息C、用户可以访问所有已经选择的信息D、用户不可以访问哪些没有选择的信息2、安全责任分配的基本原则是：（C）。

A、“三分靠技术，七分靠管理”B、“七分靠技术，三分靠管理”C、“谁主管，谁负责”D、防火墙技术3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下（B）不属于信息运行安全技术的范畴。

A、风险分析B、审计跟踪技术C、应急技术D、防火墙技术4、从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该（A）。

A、内部实现B、外部采购实现C、合作实现D、多来源合作实现5、从风险分析的观点来看，计算机系统的最主要弱点是（B）。

A、内部计算机处理B、系统输入输出C、通讯和网络D、外部计算机处理6、从风险管理的角度，以下哪种方法不可取？（D）A、接受风险B、分散风险C、转移风险D、拖延风险7、当今IT的发展与安全投入，安全意识和安全手段之间形成（B）。

A、安全风险屏障B、安全风险缺口C、管理方式的变革D、管理方式的缺口8、当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？（D）。

A、已买的软件B、定做的软件C、硬件D、数据9、当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：（C）A、访问控制列表B、系统服务配置情况C、审计记录D、用户账户和权限的设置10、根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行（B）。

A、逻辑隔离B、物理隔离C、安装防火墙D、VLAN 划分11、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定？（D）A、威胁、脆弱性B、系统价值、风险C、信息安全、系统服务安全D、受侵害的客体、对客体造成侵害的程度业务12、公司应明确员工的雇佣条件和考察评价的方法与程序，减少因雇佣不当而产生的安全风险。

CISP试题及答案-五套题1.人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于：A.为了更好的完成组织机构的使命B.针对信息系统的攻击方式发生重大变化C.风险控制技术得到革命性的发展D.除了保密性，信息的完整性和可用性也引起了人们的关注2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指：A. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息安全特征和范畴的说法错误的是：A. 信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题，他随着信息技术的发展普及，以及产业基础，用户认识、投入产出而发展C. 信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术系统分为：A. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分5. 关于信息安全策略的说法中，下面说法正确的是：A. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前，无法确定信息安全策略6. 下列对于信息安全保障深度防御模型的说法错误的是：A. 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。

2025年软件资格考试信息系统管理工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、信息系统管理工程师在实施信息系统项目管理时，以下哪项不是项目成功的必要条件？（）A、明确的项目目标B、合适的资源分配C、有效的沟通机制D、缺乏的项目范围管理2、在信息系统管理中，以下哪个概念描述了系统从设计阶段到运行阶段的整个生命周期？（）A、系统实施B、系统开发C、系统生命周期D、系统维护3、在数据库系统中，下列哪一项不是关系模型的基本约束？A. 实体完整性B. 参照完整性C. 用户定义完整性D. 过程完整性4、以下关于信息系统的描述，哪一项是不正确的？A. 信息系统通常用于支持组织的业务流程和决策制定。

B. 信息系统的架构可以分为物理层、逻辑层和应用层。

C. 信息系统的安全措施仅包括防火墙和加密技术。

D. 信息系统的发展经历了从简单的文件处理到复杂的分布式计算环境的过程。

5、在信息系统管理中，以下哪项不属于信息系统生命周期管理的关键阶段？A. 需求分析B. 系统设计C. 系统测试D. 运维维护E. 项目关闭6、在信息系统安全中，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. AESD. SHA-2567、关于数据库事务的ACID特性，下列说法正确的是？A. 原子性保证了事务中的所有操作要么全部完成，要么完全不执行B. 一致性确保了数据库从一个一致状态转换到另一个一致状态C. 隔离性意味着并发执行的事务不会相互影响D. 持久性保证了事务一旦提交，其对数据库的更改就是永久性的8、在网络通信中，下列哪一项不是TCP/IP模型的一部分？A. 应用层B. 传输层C. 物理层D. 网络接口层9、在信息系统管理中，以下哪项不属于信息系统的生命周期阶段？A. 需求分析B. 系统设计C. 系统测试D. 运维管理E. 系统维护 10、关于信息安全，以下哪个概念不属于信息安全的基本要素？A. 机密性B. 完整性C. 可用性D. 可追溯性E. 可控性11、在数据库系统中，为了保证数据的一致性，通常会采用哪种机制？A. 数据库备份B. 事务处理C. 索引优化D. 视图创建12、以下哪项不是网络操作系统(NOS)的主要功能？A. 提供文件共享服务B. 实现网络通信协议C. 支持多用户环境D. 执行单机应用程序13、在信息系统中，以下哪项不属于信息系统管理工程师的职责范围？A. 信息系统规划与设计B. 信息系统安全与维护C. 信息系统培训与咨询D. 信息系统硬件采购14、在信息系统项目管理中，以下哪项不属于项目风险管理的方法？A. 风险识别B. 风险分析C. 风险规避D. 项目进度管理15、在数据库设计的过程中，以下哪个选项不属于数据库逻辑结构设计阶段的工作？A. 确定实体和属性B. 定义数据完整性约束C. 选择合适的存储引擎D. 设计ER图（实体-关系图）16、下列关于操作系统的描述，哪一项是不正确的？A. 操作系统是一种系统软件，用于管理和协调计算机硬件资源。

一、1 单项选择题（1-605）1、 Chinese Wall 模型旳设计宗旨是：（A）。

A、顾客只能访问哪些与已经拥有旳信息不冲突旳信息B、顾客可以访问所有信息C、顾客可以访问所有已经选择旳信息 D、顾客不可以访问哪些没有选择旳信息2、安全责任分派旳基本原则是：（C）。

A、“三分靠技术，七分靠管理”B、“七分靠技术，三分靠管理”C、“谁主管，谁负责”D、防火墙技术3、保证计算机信息运行旳安全是计算机安全领域中最重要旳环节之一，如下（B）不属于信息运行安全技术旳范围。

A、风险分析B、审计跟踪技术C、应急技术D、防火墙技术4、从风险旳观点来看，一种具有任务紧急性，关键功能性旳计算机应用程序系统旳开发和维护项目应当（A）。

A、内部实现B、外部采购实现C、合作实现D、多来源合作实现5、从风险分析旳观点来看，计算机系统旳最重要弱点是（B）。

A、内部计算机处理B、系统输入输出C、通讯和网络D、外部计算机处理6、从风险管理旳角度，如下哪种措施不可取？（D）A、接受风险B、分散风险C、转移风险D、迟延风险7、当今 IT 旳发展与安全投入，安全意识和安全手段之间形成（B）。

A、安全风险屏障B、安全风险缺口C、管理方式旳变革D、管理方式旳缺口8、当为计算机资产定义保险覆盖率时，下列哪一项应当尤其考虑？（D）。

A、已买旳软件B、定做旳软件C、硬件D、数据9、当一种应用系统被袭击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：（C）A、访问控制列表B、系统服务配置状况C、审计记录D、顾客账户和权限旳设置10、根据《计算机信息系统国际联网保密管理规定》，波及国家秘密旳计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须实行（B）。

A、逻辑隔离B、物理隔离C、安装防火墙D、VLAN 划分11、根据《信息系统安全等级保护定级指南》，信息系统旳安全保护等级由哪两个定级要素决定？（D）A、威胁、脆弱性B、系统价值、风险C、信息安全、系统服务安全D、受侵害旳客体、对客体导致侵害旳程度业务12、企业应明确员工旳雇佣条件和考察评价旳措施与程序，减少因雇佣不妥而产生旳安全风险。

江汽公司员工成长路径试卷系列《企业信息化工程》题库17. 按照网络的覆盖范围可以把计算机网络分为和。

18. 企业有关的电子商务根据交易对象的不同可分为多种类型，其中 B2B 模式是指之间的电子商务，B2C 模式是指之间的电子商务。

一、 填空题（15 分/每空 1 分）19. 数据库系统是__________ , _________ 数据库管理系统和有关人员组成的总1. 2000 年，江泽民同志在世界计算机大会上明确提出了我国“以带动工业化，发挥后发优势，加快生产力的跨越式发展”的信息化战略。

2.是实现企业信息化规划的目标的过程。

3. 一个比较完整的办公自动化系统应包括、、、信息保存这四个基本环节。

4. 供应链是一个将、、、直到最终用户连成一个整体的功能网链。

5. 产品设计信息化是指将用于产品的设计开发全过程6. 是一种采用 Internet 技术建立的企业内部专用网络。

7. 制造执行系统（MES ）是位于上层的与底层的之间的面向车间层的管理信息系统 8. 信息安全管理与控制系统由、、 和安全管理四方面构成。

9. 企业信息化系统结构的三个系统层面是 、、。

10.是在计算机存储设备上合理存放的、相互关联的数据集合。

11. 柔性制造系统是由若干数控设备、物料运贮装置和组成的并能根据制造任务和生产品种变化而迅速进行调整的自动化制造系统 12. 产品设计信息化是指在网络和计算机辅助下通过，全面模拟产品的设计制造装配分析等过程13. CAPP 是指根据所给出的信息进行产品的加工方法和制造过程的设计。

14. Intranet 的核心技术是 ，采用 结构。

15. 网络化制造的特征包括： 、、和集成化。

16.是一门管理所有与产品相关的信息和所有与产品相关的过程的技术。

体。

20. 数据库管理系统的功能细分起来有：,数据库运行和控制功能。

数据库维护，数据字典，数据通信。

21. 办公自动化就是将， 系统科学及行为科学应用于传统的数据处理难以处理的数量庞大且结构不明确的，包括非数值型信息的办公事务处理的一项综合技术。

2025年软件资格考试信息系统管理工程师(基础知识、应用技术)合卷(中级)模拟试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、下列选项中，哪一项不是数据库管理系统的主要功能？A. 数据定义B. 数据操作C. 数据控制D. 网络通信2、在信息系统开发过程中，需求分析阶段的主要任务是什么？A. 设计系统的物理结构B. 明确系统应该做什么C. 编写程序代码D. 选择合适的编程语言3、题目：在信息系统管理中，以下哪个术语指的是确保信息系统的安全性和可靠性，防止未授权的访问和数据泄露？A、数据备份B、数据加密C、信息系统审计D、信息系统安全管理4、题目：以下哪个选项是信息系统的生命周期中，确保项目成功的关键阶段？A、需求分析B、系统设计C、实施阶段D、维护阶段5、在计算机系统中，下列哪种存储器类型通常用于实现高速缓存（Cache）？A. DRAMB. SRAMC. ROMD. Flash Memory6、在面向对象编程中，继承机制的主要作用是什么？A. 允许子类使用父类的方法和属性B. 实现代码复用，允许子类扩展或修改父类的功能C. 将一个类定义为另一个类的版本D. 创建新的数据类型7、在信息系统项目管理中，以下哪项不是项目成功的决定性因素？（）A、项目团队B、项目管理方法C、项目预算D、项目进度8、以下关于软件开发生命周期（SDLC）的说法中，错误的是（）。

A、软件开发生命周期包括需求分析、设计、编码、测试和维护等阶段。

B、软件开发生命周期通常采用迭代和增量的开发方式。

C、软件开发生命周期中的每个阶段都应该是独立和完整的。

D、软件开发生命周期中的测试阶段是为了确保软件质量。

9、在信息系统项目管理中，哪一项不属于风险管理过程？A. 风险识别B. 风险量化C. 风险响应规划D. 需求分析 10、关于软件工程中的“敏捷开发”模式，下列说法错误的是：A. 敏捷开发强调快速反馈和适应变化。