信息系统安全与维护卷5
- 格式:doc
- 大小:41.50 KB
- 文档页数:10
信息系统安全与维护卷五一、选择题1、《基本要求》分为技术要求和管理要求,其中技术要求包括物理安全、网络安全、主机系统安全、应用安全和A、整体安全B、数据安全C、操作系统安全D、数据库安全2、《基本要求》中管理要求中,下面那一个不是其中的内容A、安全管理机构B、安全管理制度C、人员安全管理D、病毒安全管理3、技术类安全要求按其保护的测重点不同,将依据三类控制点进行分类,其中S类代表是业务信息安全类,A类代表是什么A、通用安全保护等级B、业务服务保证类(应为系统服务保证类)C、用户服务保证类D业务安全保证类4、物理层面安全要求包括物理位置、物理访问控制、防盗窃和防破坏等,其中不是物理安全范围的是什么A、防静电B、防火C、防水和防潮D、防攻击5、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能是几级要求。
A、一级B、二级C、三级D、四级6、网络安全主要关注的方面包括:结构安全、访问控制、安全审计、边界完整性检查、入A、网络设备防护B、网络设备自身安全C、网络边界D、网络数据7、管理要求包括项(应为基本要求包括多少类)A、10B、11C、12D、138、《测评准则》和是对用户系统测评的依据(《测评准则》现已被《测评要求》替代)A、《信息系统安全等级保护实施指南》B、《信息系统安全保护等级定级指南》C、《信息系统安全等级保护基本要求》D、《信息系统安全等级保护管理办法》9、应用安全包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性和_____。
A、抗抵赖、软件容错、资源控制B、不可否认性、软件容错、资源控制C、抗抵赖、软件删除、资源控制D、抗抵赖、软件容错、系统控制10、安全管理机构包括_____控制点A、3B、4C、5D、611、《基本要求》是针对一至级的信息系统给出基本的安全保护要求。
(注意《基本要求》第9章为空白)A、2B、3C、4D、512、基本要求的选择和使用中,定级结果为S3A2,保护类型应该是。
A、 S3A2G1 B 、S3A2G2 C、S3A2G3 D、S3A2G413、二级信息系统保护要求的组合包括: S1A2G2,S2A2G2,。
A、S2A1G2B、S1A2G3C、S2A2G3D、S2A3G214、安全管理制度主要包括:管理制度、制定和发布、三个控制点。
A、评审和修订B、修改C、审核D、阅读15、数据安全包括:数据完整性、数据保密性、。
A、数据备份B、数据机密性C、数据不可否认性D、数据删除性16、结构安全、访问控制、安全审计是层面的要求。
(注意:主机安全和应用安全均有访问控制和安全审计控制点,但没有结构安全控制点。
结构安全控制点是网络安全类独有控制点)A、网络B、主机C、系统D、物理17、电磁防护是层面的要求。
A、网络B、主机C、系统D、物理18、运营、使用单位应当参照《信息安全技术信息系统安全管理要求》GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度A、测评准则B、基本要求C、定级指南D、实施指南19、主机系统安全涉及的控制点包括:身份鉴别、安全标记、访问控制、可信路径、安全审A、8B、9C、10D、720 、数据安全及备份恢复涉及到、、 3个控制点A、数据完整性数据保密性备份和恢复B、数据完整性数据保密性不可否认性C、数据完整性不可否认性备份和恢复D、不可否认性数据保密性备份和恢复21、______标准为评估机构提供等级保护评估依据。
A、基本要求B、测评指南C、评估实施指南D、定级指南22、人员管理主要是对人员的录用、人员的离岗、、安全意识教育和培训、第三方人员访问管理5个方面A、人员教育B、人员裁减C、人员考核D、人员审核23、安全管理制度包括管理制度、制定和发布和_______A、审核B、评审和修订C、修订D、评审24、每个级别的信息系统按照进行保护后,信息系统具有相应等级的基本安全保护能力,达到一种基本的安全状态。
A、基本要求B、分级要求C、测评准则D、实施指南25、《基本要求》的管理部分包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、__________。
A、系统运维B、人员录用C、管理运行D、系统运行26、环境管理、资产管理、介质管理都属于安全管理部分的_______管理。
A、人员管理B、安全管理机构 C安全管理制度、 D、系统运维管理27、系统建设管理中要求,对新建系统首先要进行______,在进行方案设计。
A、定级B、规划C、需求分析D、测评28、从___级系统开始,基本要求中有规定要作异地备份。
A、2B、3C、4D、529、系统定级、安全方案设计、产品采购等是______部分要求。
A、系统建设管理B、系统运维C、数据安全D、主机安全30、四级系统中,物理安全要求共有________项A、8B、9C、10D、11答案:1、B2、D3、B4、D、5、B6、A7、A8、C9、A 10、C11、C 12、C 13、A 14、A 15、A 16、A 17、D 18、B 19、B20、A 21、A 22、C 23、B 24、A 25、A 26、D 27、A 28、B29、A 30、C五、测评准则(已被《测评要求》替代)1、《信息安全等级保护管理办法》中要求,第三级信息系统应当每年至少进行 A 次等级测评A、一B、二C、三D、四的等级保护测评机构进行测评:A、在中华人民共和国境内注册成立;B、由中国公民投资、中国法人投资或者国家投资的企事业单位;C、具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;D、工作人员仅限于中国公民。
3、《信息安全等级保护管理办法》中要求从事信息系统安全等级测评的机构,应当履行下列A、B、C、D 义务。
A、遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果。
B、保守在测评活动中知悉的国家秘密、商业秘密和个人隐私。
C、防范测评风险。
D、对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
4、《广东省公安厅关于计算机信息系统安全保护的实施办法》规定测评机构实施 B 制度。
A、审批B、备案C、审批+备案5、在《广东省公安厅关于计算机信息系统安全保护的实施办法》中规定第 B 级以上的计算机信息系统建设完成后,使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。
A、一B、二C、三D、四6、计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列资料的主要有:A、B、C、D 。
A、安全测评委托书。
B、定级报告。
C、计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。
D、安全策略文档。
7、信息安全等级测评机构对计算机信息系统进行使用前安全测评,应当预先报告 B 公共信息网络安全监察部门。
A、县级以上公安机关B、地级以上市公安机关C、省公安厅D、公安部8、信息安全等级测评机构有下列行为之一的 A、B、C、D ,由所在地公安机关公共信息网络安全监察部门责令改正,并予以通报。
对已办理备案的,收回备案证书。
触犯有关法律、法规和规章的,依法追究法律责任。
A、伪造、冒用信息安全等级测评机构备案证书的;B、转让、转借信息安全等级测评机构备案证书的;C、出具虚假、失实的信息安全等级测评结论的;D、泄露测评活动中掌握的国家秘密、商业秘密和个人隐私的;9、计算机信息系统投入使用后,存在下列情形之一的A、B、C、D ,应当进行安全自查,同时委托安全测评机构进行安全测评:A、变更关键部件。
B、安全测评时间满一年。
C、发生危害计算机信系统安全的案件或安全事故。
D、公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评。
10、申请单位认为安全测评报告的合法性和真实性存在重大问题的,可以向 A公共信息网络安全监察部门提出申诉,提交异议申诉书及有关证明材料。
A、本单位所在地公安机关B、地级以上市公安机关C、省公安厅D、公安部11、等级保护测评的执行主体最好选择: B 。
A、独立的第三方测评服务机构。
B、具有相关资质的、独立的第三方测评服务机构。
C、从事系统集成和信息安全产品开发等安全服务机构。
D、具有相关资质的、从事系统集成和信息安全产品开发等安全服务机构。
12、安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件 A、B、C、D 的安全专用产品:A、产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格。
B、产品的核心技术、关键部件具有我国自主知识产权。
C、产品研制、生产单位及其主要业务、技术人员无犯罪记录。
D、产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能。
13、三级及以上信息系统的物理访问控制应满足以下 A、B、C、D 要求:A、机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
B、需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
C、应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
D、重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
14、三级及以上信息系统的网络安全审计应满足以下 A、B、C、D 要求:A、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;B、审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;C、应能够根据记录数据进行分析,并生成审计报表;D、应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
15、三级及以上信息系统的应用安全身份鉴别应满足以下 A、B、C、D 要求:A、应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;B、应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;C、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;D、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
16、三级及以上信息系统的应用安全资源控制应满足以下 A、B、C、D 要求:A、应能够对一个时间段内可能的并发会话连接数进行限制。
B、应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额。