2016信息安全管理与评估赛项样题

2016信息安全管理体系（ISMS）审核知识试卷 2016年6月1、单选题1、密码就是一种用于保护数据保密性的密码学技术、由（）方法及相应运行过程。

A、加密算法和密钥生成B、加密算法、解密算法、密钥生成C、解密算法、密钥生成D、加密算法、解密算法2、计算机安全保护等级的第三级是（）保护等级A、用户自主B、安全标记C、系统审计D、结构化3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的通信信道A、补强B、有益C、保护D、危害4、5、6、ISMS关键成功因素之一是用于评价信息安全A、测量B、报告C、传递D、评价7、防止恶语和移动代码是保护软件和信息的（）A、完整性B、保密性C、可用性D、以上全部8、以下强健口令的是（）A、a8mom9y5fub33B、1234C、CnasD、Password9、开发、测试和（）设施应分离、以减少未授权访问或改变运行系统的风险A、系统B、终端C、配置D、运行10、设备、（）或软件在授权之前不应带出组织场所A、手机B、文件C、信息D、以上全部11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖A、系统软件B、游戏软件C、杀毒软件D、任何敏感信息12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件A、第一方人员B、第二方人员C、第三方人员D、IT经理13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在（）合同中。

A、雇员B、承包方人员C、第三方人员D、A+B+C14、ISMS文件的多少和详细程度取决于（）A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织A、使用B、授权C、检查合格D、识别出薄弱环节16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。

《信息安全管理与评估》模拟题（A卷）一、填充题1、在安装活动目录之前，要做如下必要工作：规划________________，规划________________和规划________________模式。

2、所谓防火墙指的是一个由设备组合而成、在之间、之间的界面上构造的保护屏障。

3、_____________与_____________的作用是“进不来”和“拿不走”，加密的作用是，即使拿走了也“__________”。

4、 Intranet是指与___________隔离开的一个较小的专用网络空间，是由企业、机构、城市甚至国家采用___________技术（包括TCP/IP、WWW技术等）而建立的一种___________、相对独立的专用网络。

5、路由器的动态路由协议分为______________________和______________________。

6、Microsoft 组策略管理控制台（GPMC）是针对组策略管理的最新解决方案，该控制台由一个新的Microsoft 管理控制台（MMC）管理单元和一组编写脚本的___________组成。

7、从备份介质进行活动目录恢复有两种方式可以选择：______________和______________。

8、 MIB（管理信息库）位于相应的Agent之上，存入_______________的网络信息。

9、电磁泄漏的防护技术共有3种：_____________、_____________和电磁干扰器。

二、单选题1、Visa和 MasterCard两大信用卡组织制定了（）协议，为网上信用卡支付提供了全球性的标准。

A、IPSecB、SSLC、SETD、HTTPD2、活动目录架构中包括了两种类型的定义，如下那个名称是不正确的（）：A、组对象B、属性C、分类D、元数据3、所有的被管理对象包含在管理信息库（MIB）中，MIB实际上就是一个有关对象的数据库。

信息安全管理员大赛模拟试题（含答案）一、单选题1. 信息安全等级保护工作直接作用的具体的信息和信息系统称为 [单选题] *A、客体B、客观方面C、等级保护对象(正确答案)D、系统服务2. 下面哪个安全评估机构为我国自己的计算机安全评估机构? [单选题] *CCTCSECCNISTECITSEC(正确答案)3. 信息系统安全等级保护实施的基本过程包括系统定级、（）、安全实施、安全运维、系统终止 [单选题] *风险评估安全规划(正确答案)安全加固安全应急4. 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等，称为 [单选题] *客观方面(正确答案)等级保护对象系统服务5. 信息系统为支撑其所承载业务而提供的程序化过程，称为 [单选题] *客体客观方面等级保护对象系统服务(正确答案)6. 从业务信息安全角度反映的信息系统安全保护等级称 [单选题] *安全等级保护信息系统等级保护系统服务安全保护等级业务信息安全保护等级(正确答案)7. 从系统服务安全角度反映的信息系统安全保护等级称 [单选题] *安全等级保护信息系统等级保护系统服务安全保护等级(正确答案)业务信息安全保护等级8. 对公民、法人和其他组织的合法权益造成一般损害，定义为几级 [单选题] *第一级(正确答案)第三级第四级9. 对公民、法人和其他组织的合法权益造成特别严重损害，定义为几级 [单选题] *第一级第二级(正确答案)第三级第四级10. 二级信息系统保护要求的组合包括: S1A2G2，S2A2G2，（） [单选题] *S2A1G2(正确答案)S1A2G3S2A2G3S2A3G211. 基本要求的选择和使用中，定级结果为S3A2，保护类型应该是 [单选题] *S3A2G1S3A2G2S3A2G3(正确答案)S3A2G412. 每个级别的信息系统按照（）进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态 [单选题] *基本要求(正确答案)测评准则实施指南13. 下列选项中，不属于审核准备工作内容的是 [单选题] *编制审核计划加强安全意识教育(正确答案)收集并审核有关文件准备审核工作文件——编写检查表14. 在信息资产管理中，标准信息系统的因特网组件不包括 [单选题] *服务器网络设备（路由器、集线器、交换机）保护设备（防火墙、代理服务器）电源(正确答案)15. 在信息资产管理中，标准信息系统的组成部分不包括 [单选题] *硬件软件解决方案(正确答案)数据和信息16. 下列关于体系审核的描述中，错误的是 [单选题] *体系审核应对体系范围内所有安全领域进行全面系统地审核应由与被审核对象无直接责任的人员来实施组织机构要对审核过程本身进行安全控制对不符合项的纠正措施无须跟踪审查(正确答案)17. IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。

2016年江苏省高等职业院校技能大赛-信息安全评估赛项试题2016年江苏省高等职业院校技能大赛“信息安全管理与评估”赛项样题一、竞赛内容分布第一阶段：平台搭建与配置第二阶段：信息安全基础知识第三阶段：信息安全综合应用二、竞赛时间竞赛时间为3个小时三、竞赛注意事项1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置，选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。

2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。

3. 操作过程中，需要及时保存设备配置。

比赛结束后，所有设备保持运行状态，不要拆动硬件连接。

4. 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。

5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。

所有提交的文档必须按照赛题所规定的命名规则命名。

四、竞赛结果文件的提交按照题目要求，提交符合模板的WORD文件。

赛题基础信息你们是某公司的IT运维人员，负责维护公司网络系统安全。

任务是完成网络搭建、网络安全设备配置与防护、系统安全攻防任务，并提交所有文档留存备案，文档需要存放在“指定文件”中。

1、拓扑图2、IP地址规划表第一阶段：平台搭建与配置任务一：网络平台搭建提示：需要提交所有设备配置文件，其中DCRS设备要求提供show run配置文件保存到WORD文档，DCFW、DCFS、DCBI-netlog设备需要提交配置过程截图存入WORD文档，并在截图中加以说明。

每个设备提交的答案保存到一个WORD文档。

任务一的连通性测试答案添加在DCRS的文档中。

文档命名格式为：组号-网络拓扑中设备型号。

例：第一组DCFW设备答案提交文档的名称为：01-DCFW.doc 平台搭建要求如下：任务二：网络安全设备配置与防护提示：需要提交DCFW、DCFS、DCBI和ER400设备配置关键步骤截图，并将截图存入WORD文档，在截图中加以说明。

信息安全管理员大赛模拟试题(含答案)一、选择题（每题2分，共20分）1. 以下哪项不是信息安全的主要目标？A. 保密性B. 完整性C. 可用性D. 可靠性答案：D2. 信息安全中的“三要素”不包括以下哪项？A. 身份认证B. 访问控制C. 数据加密D. 信息审计答案：D3. 以下哪种加密算法是非对称加密算法？B. RSAC. AESD. 3DES答案：B4. 在网络攻击中，以下哪种攻击方式属于拒绝服务攻击（DoS）？A. SQL注入B. DDoSC. 木马D. 拒绝服务攻击（DoS）答案：D5. 以下哪个不是我国信息安全等级保护制度中的安全等级？A. 第一级B. 第二级C. 第三级D. 第五级6. 信息安全事件应急预案主要包括以下哪几个阶段？A. 预警、响应、处置、恢复B. 预警、响应、处置、总结C. 预警、响应、处置、评估D. 预警、响应、处置、改进答案：A7. 以下哪项不是我国《网络安全法》规定的信息安全防护措施？A. 安全防护技术措施B. 安全防护组织措施C. 安全防护管理制度D. 安全防护宣传教育答案：D8. 在以下哪种情况下，系统管理员无需向用户告知？A. 系统升级B. 系统维护C. 系统故障D. 用户密码泄露答案：D9. 以下哪项不是网络钓鱼攻击的主要手段？A. 发送虚假邮件B. 假冒官方网站C. 恶意软件D. 信息加密答案：D10. 信息安全管理员在处理信息安全事件时，以下哪个步骤不是必须的？A. 确认事件类型B. 确定事件级别C. 上报事件D. 自行处理事件答案：D二、填空题（每题2分，共20分）1. 信息安全主要包括________、________、________三个方面。

答案：保密性、完整性、可用性2. 常见的信息安全攻击手段有________、________、________。

答案：拒绝服务攻击（DoS）、网络钓鱼、SQL注入3. 信息安全等级保护制度中的安全等级分为________、________、________、________、________五个等级。

“信息安全管理与评估”测试题十四一、注意事项1、选手在规定时间内完成网络搭建和网络设备的配置与安全攻防的配置。

竞赛时间终止时刻，选手应停止一切操作，并起立离开操作台。

裁判员收集配置结果后，参赛队员签字予以确认。

2、正确保存所有参赛用设备的配置文件，配置文件为startup-config文件，并不是根据show running命令输出的结果，startup-config文件没有后缀名，需要通过TFTP服务器，配合TFTP命令将文件拷贝到TFTP服务器上，如果将show running的结果复制到word或文本文档上保存，是错误的，需要选手注意。

3、如题目有特殊要求，如：将配置过程截图，将协议效果截图等，按照题目要求进行截图，并生成word文件进行保存，在文件中需注意，要将每一张截图的注释写清楚，如：此图为安全加固的第一个任务等。

4、文件名称要求符合下表要求。

如有格式不符合，形式不符合一律进行相应扣分，如设备配置文件（startup-config）没有成功保存，此设备记零分。

将配置文件、测试结果文件放在学生机的桌面（或U盘）之中的名为“大赛-组号”的文件夹中。

示例：config三层交换机101-RS-starup-config测试结果文件（截图文件）参赛队编码-设备名称.doc第一台防火墙101-FWA.doc第二台防火墙101-FWB.doc第一台路由器101-RA-测试文档.doc第二台路由器101-RB-测试文档.doc第三台路由器101-RC-测试文档.doc第一台二层交换机101-SWA-测试文档.doc第二台二层交换机101-SWA-测试文档.doc三层交换机101-RS-测试文档.doc入侵检测系统101-IDS.doc参赛队编码-系统加固.doc 101-系统加固.doc参赛队编码-扫描渗透.doc 101-扫描渗透.doc参赛队编码-攻防对战.doc 101-攻防对战.doc 参赛队编码-其它文档.doc 101-XXXX.doc105-FWA.doc105-系统加固.doc9、大赛组委会提供三台或四台PC机，其中一台为堡垒服务器用PC机（SMC服务器），其余为选手操作机。

1、根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。

（5分）1分截图含主机名称：任意字符串2分截图含模式选择：透明模式2分截图含IP地址：匹配参数表WAF IP地址子网掩码2、根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配置。

（5分）截图含以下配置信息：hostname DCRS 0.5分interface Vlan2ip address 192.168.253.28 255.255.255.224（匹配参数表） 0.5分interface Vlan10ip address 192.168.1.254 255.255.255.0（匹配参数表） 1分interface Vlan20ip address 192.168.254.120 255.255.255.128（匹配参数表）1分interface Vlan30ip address 192.168.255.118 255.255.255.128（匹配参数表）1分interface Vlan110ip address 192.168.249.100 255.255.255.128（匹配参数表）1分3、根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。

（5分）2分截图含主机名称信息；3分截图含除192.168.1.1的2个接口IP地址/前缀长度（匹配参数表）4、根据网络拓扑图所示，按照IP地址参数表，对DCFS的各接口IP地址进行配置。

（5分）截图含除192.168.1.254的1个IP地址/前缀长度（匹配参数表）5、根据网络拓扑图所示，按照IP地址参数表，对NETLOG的名称、各接口IP地址进行配置。

（5分）2分截图含主机名称信息；3分截图含如下信息：IP地址0.0.0.0 子网掩码0.0.0.06、根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。

2016下半年信息安全工程师考试真题一、单项选择1、以下有关信息安全管理员职责的叙述，不正确的是（）A、信息安全管理员应该对网络的总体安全布局进行规划B、信息安全管理员应该对信息系统安全事件进行处理C、信息安全管理员应该负责为用户编写安全应用程序D、信息安全管理员应该对安全设备进行优化配置2、国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”，其中规定密钥协商算法应使用的是（）A、DHB、ECDSAC、ECDHD、CPK3、以下网络攻击中，（）属于被动攻击A、拒绝服务攻击B、重放C、假冒D、流量分析4、（）不属于对称加密算法A、IDEAB、DESC、RCSD、RSA5、面向身份信息的认证应用中，最常用的认证方法是（）A、基于数据库的认证B、基于摘要算法认证C、基于PKI认证D、基于账户名/口令认证6、如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统称为（）A、公钥加密系统B、单密钥加密系统C、对称加密系统D、常规加密系统7、S/Key口令是一种一次性口令生产方案，它可以对抗（）A、恶意代码木马攻击B、拒绝服务攻击C、协议分析攻击D、重放攻击8、防火墙作为一种被广泛使用的网络安全防御技术，其自身有一些限制，它不能阻止（）A、内部威胁和病毒威胁B、外部攻击C、外部攻击、外部威胁和病毒威胁D、外部攻击和外部威胁9、以下行为中，不属于威胁计算机网络安全的因素是（）A、操作员安全配置不当而造成的安全漏洞B、在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息C、安装非正版软件D、安装蜜罐系统10、电子商务系统除了面临一般的信息系统所涉及的安全威胁之外，更容易成为黑客分子的攻击目标，其安全性需求普遍高于一般的信息系统，电子商务系统中的信息安全需求不包括（）A、交易的真实性B、交易的保密性和完整性C、交易的可撤销性D、交易的不可抵赖性11、以下关于认证技术的叙述中，错误的是（）A、指纹识别技术的利用可以分为验证和识别B、数字签名是十六进制的字符串C、身份认证是用来对信息系统中实体的合法性进行验证的方法D、消息认证能够确定接收方收到的消息是否被篡改过12、有一种原则是对信息进行均衡、全面的防护，提高整个系统的安全性能，该原则称为（）A、动态化原则B、木桶原则C、等级性原则D、整体原则13、在以下网络威胁中，（）不属于信息泄露A、数据窃听B、流量分析C、偷窃用户账户D、暴力破解14、未授权的实体得到了数据的访问权，这属于对安全的（）A、机密性B、完整性C、合法性D、可用性15、按照密码系统对明文的处理方法，密码系统可以分为（）A、置换密码系统和易位密码B、密码学系统和密码分析学系统C、对称密码系统和非对称密码系统D、分级密码系统和序列密码系统16、数字签名最常见的实现方法是建立在（）的组合基础之上A、公钥密码体制和对称密码体制B、对称密码体制和MD5摘要算法17、以下选项中，不属于生物识别方法的是（）A、指纹识别B、声音识别C、虹膜识别D、个人标记号识别18、计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效应的确定和提取。

“信息安全技术应用”赛项竞赛试题（样题）“信息安全技术应用”赛项专家组目录一、竞赛内容及评分标准1.1竞赛内容及评分本次竞赛内容分为四个部分，每个部分的考试要求及评分标准如下：第一部分：网络基础连接与配置部分（占30%）竞赛内容包括：按照组委会提供的网络拓扑图（见附件一）及IP地址规划（见附件二）所有网络设备网线连接，基本配置，实现网络互联；第二部分：网络信息安全部分（占55%）竞赛内容包括：网络安全控制，系统加固、渗透测试及网络攻防；第三部分：文档部分（占10%）竞赛内容包括：按照相关文档规范制作本次竞赛的施工文档，放置在指定目录；第四部分：团队风貌（占5%）竞赛内容包括：团队风貌、团队协作与沟通、组织与管理能力和工作计划性等。

1.2评分方法竞赛评分严格按照公平、公正、公开的原则，评分方法如下：●参赛队成绩由裁判委员会统一评定；●采取分步得分、错误不传递、累计总分的积分方式，分别计算环节得分，不计参赛选手个人得分；●在竞赛过程中，参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为的，由裁判长按照规定扣减相应分数，情节严重的取消比赛资格，比赛成绩记0分；竞赛评分细则按照本竞赛规程在竞赛开始7天之前由执行委员会制定。

二、具体竞赛要求竞赛范围分为三个阶段进行：阶段序号步骤第一阶段：网络与安全部署1 网络环境搭建2 网络安全部署3 系统加固第二阶段：场内攻防对抗 4 场内分组攻防第三阶段：场外攻防对抗 5 防守场外渗透测试2.1 第一阶段：网络与安全部署2.1.1 网络环境搭建和网络安全部署拓扑图（见附件一），IP地址规划（见附件二）及竞赛要求说明如下：场景描述：某公司通过防火墙与互联网相连，为保证公司内部网络和互联网络之间能够相互通信，要求完成一系列安全方面措施，现进行网络的搭建与配置。

技术要求：1.根据拓扑图正确连接设备。

2.根据大赛规划设置IP地址与VLAN等基本信息。

3.由RA-RB-RC-FWA组成外网，FWB-RS-SWA-SWB组成内网。