信息安全管理练习题
- 格式:doc
- 大小:121.50 KB
- 文档页数:32
信息安全管理员-中级工模拟练习题(含参考答案)一、单选题(共43题,每题1分,共43分)1.()负责依据各数据主题数据质量细则制定通用数据质量校验规则,根据应用需求固化在一体化信息系统和数据资源管理平台上,并分发至公司总部及所属各单位,各单位必须严格执行。
A、公司信息部B、公司各数据主题管理部门C、数据录入部门D、数据使用部门正确答案:A2.下列选项中,具有连接范围窄、用户数少、配置容易、连接速率高等特点的网络是()。
A、广域网B、局域网C、互联网D、城域网正确答案:B3.下列网络中常用的名字缩写对应的中文解释错误的是()。
A、FTP(File Transfer Protocol):快速传输协议B、URL(Uinform Resource Locator):统一资源定位器C、WWW(World Wide Web):万维网D、HTTP(Hypertext Transfer Protocol):超文本传输协议正确答案:A4.关于OSI参考模型层次划分原则的描述中,错误的是()。
A、高层使用低层提供的服务B、不同结点的同等层具有相同的功能C、同一结点内相邻层之间通过对等协议实现通信D、各结点都有相同的层次正确答案:C5.配置管理的范围涉及IT环境里的所有配置项,包括服务器、存储设备、网络设备、安全设备、系统软件、应用软件、PC机、()、重要文档以及配置项之间的重要关联关系等。
A、打印机B、扫描仪C、复印机D、相机正确答案:A6.下列属于C类计算机机房安全要求范围之内的是()。
A、火灾报警及消防设施B、电磁波的防护C、防鼠害D、防雷击正确答案:A7.有一种攻击是不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,这种攻击叫做()。
A、拒绝服务攻击B、重放攻击C、服务攻击D、反射攻击正确答案:A8.数据运维管理组织及职责是()。
A、业务部门职责B、信息部门职责C、其它合作单位职责D、以上都是正确答案:D9.热备的切换时间的影响因素,主要由那方面决定?()A、启动服务的实际时间,与环境配置的复杂和数据库存储数据量相关,往往客户实际配置比较复杂,数据库比较庞大,因需启动服务比较长B、共享磁盘陈列的挡挂载,当磁盘陈列的文件系统出现问题同时数据比较多时,白塔该分区时做文件系统检测就比较长C、停止服务实际时间,其所受各种环境备件的影响和启动服务一样D、以上都是正确答案:D10.信息系统使用中,当会话控制应在会话处于非活跃一定时间或会话结束后()。
信息安全管理员-初级工练习题(附参考答案)一、单选题(共43题,每题1分,共43分)1.以下哪种不是Spark支持的模式()。
A、standlone模式B、Spark Client 模式C、Spark on Mesos模式D、Spark on YARN模式正确答案:B2.根据《中国南方电网有限责任公司信息系统运行维护管理办法(2015年)》,各级信息运维部门应按照“()”的原则,按照规定的流程和相关规范要求开展信息系统的运行维护工作。
A、统一领导、各级管理B、同一领导、各级管理C、统一领导、分级管理D、同一领导、分级管理正确答案:C3.1000BASE-T标准规定网卡与HUB之间的非屏蔽双绞线长度最大为()。
A、50米B、100米C、200米D、500米正确答案:B4.公司的办公网络是Windows 2008域环境。
要想使员工无论使用哪台计算机都能获得他在前一次登录使用的桌面环境,该员工可以修改并保存桌面环境,使用()能实现。
A、强制配置文件B、本地配置文件C、漫游配置文件D、临时配置文件正确答案:C5.服务器虚拟化中,()是一套增强客户操作系统性能和功能的实用程序和驱动程序。
A、Virtual ToolsB、windows 7C、wpsD、auto CAD正确答案:A6.数据生命周期演进过程的三种存储形式不包括()。
A、近线存储B、在线存储C、离线存储D、长线存储正确答案:D7.哪种数据变换的方法将数据沿概念分层向上汇总?()A、平滑B、聚集C、数据概化D、规范化正确答案:C8.激光打印机中显影不均匀与()有关。
A、墨粉供给B、光路清洁C、转印电压D、充电电极正确答案:A9.各级()协助数据主题管理部门复核数据质量问题处理结果。
A、数据主题管理部门B、数据录入部门C、信息部门D、数据使用部门正确答案:D10.各级()部门负责评价所管理数据主题内数据录入和使用部门的数据质量管理工作。
A、信息化领导小组办公室B、数据使用部门C、数据主题管理部门D、数据录入部门正确答案:C11.数据中心的部署原则是()。
网络与信息安全管理员习题(含答案)一、单选题(共69题,每题1分,共69分)1.()指Android为应用程序开发者提供的APIs,包括各种各样的控件。
A、操作系统层B、Android运行环境C、应用程序框架D、应用程序正确答案:C2.某单位一个大办公室内共需放置24台台式计算机,那么在进行网络规划时,一般考虑采用的传输介质是()。
A、多模光纤B、双绞线C、微波D、单模光纤正确答案:B3.数字信号经调制后的传输速率称波特率,即单位时间内传送的()个数。
A、模拟信号B、电信号C、光信号D、二进制数正确答案:D4.个人()在互联网上发布危险物品信息。
A、禁止B、向电信主管部门申请办理互联网信息服务增值电信业务经营许可后C、办理非经营性互联网信息服务备案手续D、持从事危险物品活动的合法资质材料到所在地县级以上人民政府公安正确答案:A5.()是采用适当的方法与工具确定威胁利用脆弱性导致信息系统灾难发生的可能性,主要包括计算灾难发生的可能性、计算灾难发生后的损失、计算风险值。
A、风险计算B、风险评估C、风险规避D、风险量化正确答案:A6.网吧管理人员未核对登记上网消费者的有效身份证件并记录有关上网信息的,()可罚款、警告。
A、公安机关B、电信部门C、工商行政部门D、文化行政部门正确答案:A7.在Windows系统密码策略中,最短密码长度一般设置为至少()个字符。
A、10B、8C、6D、12正确答案:B8.以下不属于侧信道技术(利用非通信信道物理信息如能量消耗变化、电磁辐射变化进行分析攻击)的攻击技术是()。
A、能量分析B、计时分析C、B误注入D、干扰技术正确答案:D9.关于SELinux的转换,下列说法正确的是()。
A、在特殊目录创建文件时不会发生文件类型的转B、在任何目录创建文件时都会发生转换C、域转换与否取决于安全上下文D、当执行了一个被限定类型的程序时不会发生进正确答案:C10.在Linux系统中,图形文件、数据文件、文档文件等都属于()。
信息安全管理员-高级工练习题库+答案一、单选题(共45题,每题1分,共45分)1.上班时间段内(指工作日8:00-12:00、15:00-18:00下同),每个互联网用户可使用公司互联网的最大带宽为2Mbps,即:()。
A、126KB/sB、256KB/sC、512KB/sD、2000KB/s正确答案:B2.包过滤防火墙通过()来确定数据包是否能通过。
A、路由表B、ARP表C、NAT表D、过滤规则正确答案:D3.病毒通过如下哪些方法隐藏自己?()A、不生成窗口或隐藏窗口B、使用注入等手段隐藏进程C、隐藏自己的文件和注册表项D、以上都是正确答案:D4.SSL指的是()?A、授权认证协议B、安全套接层协议C、安全通道协议D、加密认证协议正确答案:B5.病毒可以分成哪些类别?()A、感染引导区病毒B、宏病毒C、恶作剧电子邮件D、以上都是正确答案:D6.以下标准中,哪项不属于综合布线系统工程常用的标准。
()A、日本标准B、北美标准C、中国国家标准D、国际标准正确答案:A7.下列做法不能提高计算机的运行速度()。
A、增加内存B、更换更高档次的CPUC、增加硬盘容量D、清理操作系统启动项正确答案:C8.为了从光盘全新安装Windows 7系统,应在“CMOS SETUP”中将“Boot First Device”设置为()。
A、HDD0B、FloppyC、CD-ROMD、HDD1正确答案:C9.网页病毒主要通过以下途径传播:()。
A、文件交换B、网页浏览C、邮件D、光盘正确答案:B10.市面上较常见的哪种打印机的特点是打印速度快、打印品质好、工作噪音小?()A、喷墨打印机B、激光打印机C、针式打印机正确答案:B11.在网络安全整个链条中,人的因素是最薄弱的一环节,社会工程学就是利用人的弱点(信任权威、信任共同爱好、获得好处后报答、期望守值、期望社会认可、短缺资源渴望等)通过欺骗手段而入侵计算机系统的一种攻击方法,简称为()攻击。
网络信息安全管理员练习题库+参考答案一、单选题(共80题,每题1分,共80分)1、( )是操作系统。
A、WPSB、WordC、WindowsD、Office正确答案:C2、以太网帧最长为( )个字节。
数据部分 1500BA、1500B、1518C、46D、64正确答案:B3、Ping Internet中远程主机的地址,可以确认( )的设置是否正确A、网卡B、子网掩码C、网关D、DNS正确答案:C4、本地安全策略的常用操作不包括( )A、启用密码策略B、启动IP安全策略管理C、设置公钥策略D、编辑安全策略正确答案:A5、下列属于企业文化功能的是( )A、技术培训功能B、社交功能C、整合功能D、科学研究功能正确答案:C6、后缀名是 HTML 的文件是( )。
A、超文本文档B、WORC、文档D、可执行文件格式E、DLL正确答案:A7、机房专用空调机组是( )。
A、五制冷回路B、六制冷回路C、双制冷回路D、七制冷回路正确答案:C8、RIP 协议支持的最大跳数为( )A、17B、15C、16D、14正确答案:B9、域名前面加上( )信息及主机类型信息就构成了网址。
A、逻辑协议B、网络协议C、物理协议D、传输协议正确答案:D10、把磁盘从逻辑上划分成一系列同心圆,每个同心圆称为一个( )A、分区B、扇区C、磁道D、簇正确答案:C11、将域名映射为 IP 地址的系统称为( )A、DNSB、DHCPC、WINSD、FTP正确答案:A12、IPv6 地址总长度是 IPv4 地址长度的( )倍。
A、5B、3C、2D、4正确答案:D13、通过控制端口配置交换机及路由器时使用的连接电缆是( )A、同轴线B、直连线C、交叉线D、反转线正确答案:D14、下列关于勤劳节俭的论述中,正确的是( )A、新时代需要巧干,不需要勤劳B、勤劳节俭有利于企业持续发展C、新时代需要创造,不需要节俭D、勤劳一定能使人致富正确答案:B15、在对标准”100BASE -T”的解释中,下列解释错误的是( )A、100B、BASC、表示传输方式是基带传输D、TE、整个标准的意义是双绞线快速以太网标准正确答案:A16、公司和企业的 Intemet 顶级域名是( )A、COMB、GOVC、EDUD、NET正确答案:A17、将内部专用 IP 地址转换为外部公用 IP 地址的技术是( )A、NATC、ARPD、RAPR正确答案:A18、使用下列( )用户组的成员登录,可以创建新的用户组。
信息安全管理员-中级工练习题及答案一、单选题(共43题,每题1分,共43分)1.以下通过哪项不可以对远程服务器进行管理?()A、telnetB、使用文件共享C、使用pcanywhereD、远程桌面连接正确答案:B2.外来计算机严禁擅自接入公司信息网络,因工作需要接入到公司内网的,必须经部门领导同意,并报广西电网公司信息部备案,同时,()必须对该机的信息安全负责。
A、部门领导B、联系人C、使用者D、外来者正确答案:C3.在Unix系统中,用于显示当前目录路径名的命令是()。
A、pwdB、lsC、cdD、ps正确答案:A4.下面哪个属于映射数据到新的空间的方法?()A、维归约B、傅立叶变换C、特征加权D、渐进抽样正确答案:B5.光盘刻录机即CD-R属于()。
A、一次性写入可重复读取光盘B、多次写入可重复读取光盘C、ROM光盘D、RAM光盘正确答案:A6.实际电压源在供电时,它的端电压()它的电动势。
A、不确定B、等于C、高于D、低于正确答案:D7.事件的来源有()。
A、用户电话申报B、用户事件自助受理C、系统监控自动报警D、以上全都是正确答案:D8.所有生产环境配置项的更改都要通过变更管理流程进行控制。
只有得到授权的()才能对CMDB中的配置项信息进行修改。
A、配置管理员B、变更管理员C、问题管理员D、系统管理员正确答案:A9.在计算机机房出入口处或值班室,应设置()和应急断电装置。
A、电扇B、电视C、应急电话D、报警器正确答案:C10.著作权法中,计算机软件著作权保护的对象是()。
A、硬件设备驱动程序B、计算机程序及其开发文档C、操作系统软件D、源程序代码正确答案:B11.下列关于PC机性能的叙述中,错误的是()。
A、逻辑结构相同时,CPU主频越高,速度就越快B、总线约传谕速率与总线的数据线宽度、总线工作频率等有关C、通常cache容量越大,访问cache的命中率就越高D、主存的存取周期越长,存取速度就越快正确答案:D12.心肺复苏法的三项基本措施是()、口对口(鼻)人工呼吸以及胸外按压(人工循环)。
一、单项选择题(每题2分,共20分)1. 以下哪项不是信息安全的基本原则?A. 完整性B. 可用性C. 可信性D. 可控性2. 信息安全管理的目的是什么?A. 防止信息泄露B. 确保信息不被篡改C. 保障信息系统稳定运行D. 以上都是3. 以下哪个不属于信息安全威胁?A. 黑客攻击B. 自然灾害C. 电磁干扰D. 信息病毒4. 信息安全管理制度的核心内容是什么?A. 安全策略B. 安全组织C. 安全技术D. 以上都是5. 以下哪种认证方式不是信息安全认证?A. 身份认证B. 加密认证C. 权限认证D. 网络认证6. 以下哪项不是信息安全风险评估的步骤?A. 确定资产B. 识别威胁C. 评估脆弱性D. 制定安全策略7. 以下哪种加密算法不适用于信息安全?A. AESB. DESC. RSAD. MD58. 信息安全事件报告的主要目的是什么?A. 提高员工安全意识B. 评估信息安全风险C. 采取措施防止类似事件发生D. 以上都是9. 以下哪项不是信息安全培训的内容?A. 信息安全法律法规B. 信息安全意识教育C. 信息安全操作技能培训D. 企业文化培训10. 以下哪种安全措施不属于物理安全?A. 建立门禁系统B. 设置视频监控系统C. 定期检查硬件设备D. 制定应急预案二、多项选择题(每题3分,共15分)1. 信息安全管理的范围包括哪些?A. 信息系统安全B. 网络安全C. 应用安全D. 数据安全2. 信息安全风险评估的目的是什么?A. 识别信息系统存在的安全风险B. 评估安全风险对信息系统的影响C. 采取措施降低安全风险D. 评估信息安全管理的有效性3. 以下哪些属于信息安全管理体系?A. 安全策略B. 安全组织C. 安全技术D. 安全培训4. 信息安全事件处理的基本原则包括哪些?A. 及时发现B. 及时报告C. 及时响应D. 及时恢复5. 以下哪些属于信息安全事件报告的内容?A. 事件发生时间B. 事件发生地点C. 事件涉及人员D. 事件处理结果三、判断题(每题2分,共10分)1. 信息安全管理制度是信息系统安全的基础。
网络与信息安全管理员习题+答案一、单选题(共100题,每题1分,共100分)1、根据《信息安全等级保护管理办法》,()应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。
A、国家密码管理部门B、公安机关C、国家保密工作部门D、信息系统的主管部门正确答案:D2、在交换机配置MAC地址静态绑定,该配置()。
A、仅保存在MAC地址表B、仅保存在启动配置文件C、MAC地址表和启动配置文件均无保存D、同时保存在MAC地址表和启动配置文件正确答案:D3、OSPF协议中关于router-ID说法正确的是()。
A、可有可无B、必须手工配置C、所有接口中IP地址最大的D、路由器可以自动选择正确答案:D4、关于上传漏洞与解析漏洞,下列说法正确的是()A、只要能成功上传就一定能成功解析B、上传漏洞只关注文件名C、两个漏洞没有区别D、从某种意义上来说,两个漏洞相辅相成正确答案:D5、关于域名解析不正确的是()。
A、采用自下而上方法B、有递归解析与反复解析两种C、名字解析时只要走一条单向路径D、实际从本地DNS服务器开始正确答案:A6、恶意代码的定义是指在未被授权的情况下,以()为目的而编制的软件或代码片段。
I 破坏软硬件设备 II 窃取用户信息 III 扰乱用户心理 IV 干扰用户正常使用A、I、IIB、I、II、IIIC、I、II、IVD、I、II、III、IV正确答案:D7、下列哪种工具不属于WEB服务器漏洞扫描工具A、NiktoB、Web DumperC、paros ProxyD、Nessus正确答案:B8、为什么要将浮动静态路由的管理距离配置得高于路由器上运行的动态路由协议的管理距离()。
A、作为最后选用网关B、作为路由表中首选路由C、作为备份路由D、是流量负载均衡正确答案:C9、设备维护保养管理的目的是()。
A、保证设备的正常使用B、提高设备的使用效率C、延长设备的使用年限D、不让设备损坏正确答案:B10、()指事务还没有达到预期的终点就被终止。
网络与信息安全管理员(系统管理员)理论练习题库(含答案)一、多选题1、以下哪个属于信息安全的三要素之一?()A、完整性B、可用性C、抗抵赖性D、机密性正确答案:ABD2、执行SELECT index_name,status FROM dba_indexesWHERE status='UNUSABLE';对所得到索引下列的描述正确的是?()A、这些索引将被查询优化器(optimizer)忽略B、当索引正在被重建的时候,就将处于UNUSABLE状态C、这些索引已经被损坏,需要进行re-createD、这些索引将在下次被调用的时候自动重建正确答案:AB3、对于磁盘分区要求,以下swap分区配置合理的是()A、4GB 或 4GB 以下内存的系统,设置2GB 交换空间;B、大于4GB 而小于16GB 内存的系统,设置4GB 交换空间;C、大于 16GB 而小于 64GB 内存的系统,调协8GB 交换空间;D、大于64GB 而小于256GB 内存的系统,设置16GB 交换空间。
正确答案:ABCD4、对于基于主机的虚拟化技术,下列说法正确的是:()A、存在操作系统和应用的兼容性问题B、需占用主机资源,并且导致主机升级、维护和扩展复杂C、使服务器的存储空间可以跨越多个异构的磁盘阵列D、只能通过操作系统下的逻辑卷进行,别无他法正确答案:ABCD5、通过SSL VPN 接入企业内部的应用,其优势体现在哪些方面:()。
A、应用代理B、穿越 NAT 和防火墙设备C、完善的资源访问控制D、抵御外部攻击正确答案:ABCD6、配置PPP 链路层协议时,链路层协议状态始终不能转为Up状态的处理建议:()A、PPP 链路两端的接口上配置的参数和验证方式都必须一致,LCP 检查才能成功B、如果 LCP 协商失败,请检查 LCP 配置协商参数C、请检查验证方式配置是否正确。
因为LCP 协商中,包含验证方式的协商。
因为LCP 协商中,包含验证方式的协商。
信息安全管理员-中级工模拟习题及答案一、单选题(共43题,每题1分,共43分)1.事件的来源有()。
A、用户电话申报B、用户事件自助受理C、系统监控自动报警D、以上全都是正确答案:D2.光盘刻录机即CD-R属于()。
A、一次性写入可重复读取光盘B、多次写入可重复读取光盘C、ROM光盘D、RAM光盘正确答案:A3.()是参与企业运营的独立存在的业务对象,会随着业务部门的需求变化而不断修编,在此演变过程中有可能导致其对象的增减。
A、主数据B、人C、计算机D、以上都是正确答案:A4.当路由器在查找路由表时,如发现不止一条路由匹配,则路由应如何选择?()A、选择路由表中最上一条匹配路由B、选择默认路由C、遵从最长匹配原则D、在所有路由中进行负载均衡(LOADBALANCE)正确答案:C5.各级()负责解决由于业务操作不规范、业务规则定义不合理等业务原因导致的数据质量问题,并复核数据质量问题处理结果。
A、数据录入部门B、信息化领导小组C、数据主题管理部门D、信息部门正确答案:A6.为用户重装操作系统时,以下不需要备份的是()。
A、开始菜单B、收藏夹C、IP地址D、我的文档正确答案:A7.现行IP地址采用的标记法是()。
A、十六进制B、分组不能被交换C、冒号十进制D、十进制正确答案:D8.IPv4地址由()位二进制数值组成。
A、8位B、16位C、32位D、64位正确答案:C9.配置管理员负责管理和维护配置管理系统和配置管理数据库系统,根据()要求生成报表和数据分析。
A、问题经理B、配置经理C、变更经理D、系统经理正确答案:B10.数据共享是由数据应用部门提出公司内部跨组织、跨部门的数据获取需求,由对应数据提供部门进行授权,并由()向该数据应用部门授予数据访问权限的相关工作。
A、信息管理部门B、业务部门C、上级单位D、需求部门正确答案:A11.只有非零值才重要的二元属性被称作()。
A、非对称的二元属性B、计数属性C、对称属性D、离散属性正确答案:A12.管理信息系统核心设备的供电必须由在线式UPS 提供,UPS 的容量不得小于机房设备实际有功负荷的()倍。
信息安全管理练习题-2014判断题:1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。
(×)注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。
2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。
(×)注释:应在24小时内报案3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×)注释:共3种计算机犯罪,但只有2种新的犯罪类型。
单选题:1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。
A. 通信保密阶段B. 加密机阶段C. 信息安全阶段D. 安全保障阶段2. 信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。
A. 保密性B. 完整性C. 不可否认性D. 可用性3. 下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。
A. 杀毒软件B. 数字证书认证C. 防火墙D. 数据库加密4. 《信息安全国家学说》是( C )的信息安全基本纲领性文件。
A. 法国B. 美国C. 俄罗斯D. 英国注:美国在2003年公布了《确保网络空间安全的国家战略》。
5. 信息安全领域内最关键和最薄弱的环节是( D )。
A. 技术B. 策略C. 管理制度D. 人6. 信息安全管理领域权威的标准是( B )。
A. ISO 15408B. ISO 17799/ISO 27001(英)C. ISO 9001D. ISO 140017. 《计算机信息系统安全保护条例》是由中华人民共和国( A )第147号发布的。
A. 国务院令B. 全国人民代表大会令C. 公安部令D. 国家安全部令8. 在PDR安全模型中最核心的组件是( A )。
A. 策略B. 保护措施C. 检测措施D. 响应措施9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为( A )。
A. 可接受使用策略AUPB. 安全方针C. 适用性声明D. 操作规范10. 互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存( C )天记录备份的功能。
A. 10B. 30C. 60D.9011. 下列不属于防火墙核心技术的是( D )A. (静态/动态)包过滤技术B. NAT技术C. 应用代理技术D. 日志审计12. 应用代理防火墙的主要优点是( B )A. 加密强度更高B. 安全控制更细化、更灵活C. 安全服务的透明性更好D. 服务对象更广泛13. 对于远程访问型VPN来说,( A )产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A. IPSec VPNB. SSL VPNC. MPLS VPND. L2TP VPN注:IPSec协议是一个应用广泛,开放的VPN安全协议,目前已经成为最流行的VPN解决方案。
在IPSec框架当中还有一个必不可少的要素: Internet安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley),它提供自动建立安全关联和管理密钥的功能。
14. 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859-1999,提出将信息系统的安全等级划分为( D )个等级,并提出每个级别的安全功能要求。
A. 7B. 8C. 6D. 5注:该标准参考了美国的TCSEC标准,分自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。
15. 公钥密码基础设施PKI解决了信息系统中的( A )问题。
A. 身份信任B. 权限管理C. 安全审计D. 加密注:PKI(Public Key Infrastructure,公钥密码基础设施),所管理的基本元素是数字证书。
16. 最终提交给普通终端用户,并且要求其签署和遵守的安全策略是( C )。
A. 口令策略B. 保密协议C. 可接受使用策略AUPD. 责任追究制度知识点:1. 《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。
2. 安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。
3. 1994年2月18日国务院发布《计算机信息系统安全保护条例》。
4. 安全审计跟踪是安全审计系统检测并追踪安全事件的过程。
5. 环境安全策略应当是简单而全面。
6. 安全管理是企业信息安全的核心。
7. 信息安全策略和制定和维护中,最重要是要保证其明确性和相对稳定性。
8. 许多与PKI相关的协议标准等都是在X.509基础上发展起来的。
9. 避免对系统非法访问的主要方法是访问控制。
10. 灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。
11. RSA是最常用的公钥密码算法。
12. 在信息安全管理进行安全教育和培训,可以有效解决人员安全意识薄弱。
13. 我国正式公布电子签名法,数字签名机制用于实现抗否认。
14. 在安全评估过程中,采取渗透性测试手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
15. 病毒网关在内外网络边界处提供更加主动和积极的病毒保护。
16. 信息安全评测系统CC是国际标准。
17. 安全保护能力有4级:1级-能够对抗个人、一般的自然灾难等;2级-对抗小型组织;3级-对抗大型的、有组织的团体,较为严重的自然灾害,能够恢复大部分功能;4级-能够对抗敌对组织、严重的自然灾害,能够迅速恢复所有功能。
18. 信息系统安全等级分5级:1-自主保护级;2-指导保护级;3-监督保护级;4-强制保护级;5-专控保护级。
19. 信息系统安全等级保护措施:自主保护、同步建设、重点保护、适当调整。
20. 对信息系统实施等级保护的过程有5步:系统定级、安全规则、安全实施、安全运行和系统终止。
21. 定量评估常用公式:SLE(单次资产损失的总值)=AV(信息资产的估价)×EF(造成资产损失的程序)。
22. SSL主要提供三方面的服务,即认证用户和服务器、加密数据以隐藏被传送的数据、维护数据的完整性。
23. 信息安全策略必须具备确定性、全面性和有效性。
24. 网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在网络交换机的监听端口、内网和外网的边界。
25. 技术类安全分3类:业务信息安全类(S类)、业务服务保证类(A类)、通用安全保护类(G类)。
其中S类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;A类关注的是保护系统连续正常的运行等;G类两者都有所关注。
26. 如果信息系统只承载一项业务,可以直接为该信息系统确定安全等级,不必划分业务子系统。
27. 信息系统生命周期包括5个阶段:启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。
而安全等级保护实施的过程与之相对应,分别是系统定级、安全规划设计、安全实施、安全运行维护和系统终止。
信息安全管理体系国家注册审核员培训班考试试题-2015一、选择题(每题1分,共lO分)( )1.信息安全中的可用性是指_______a)信息不能被未授权的个人,实体或者过程利用或知悉的特性b)保护资产的准确和完整的特性c)根据授权实体的要求可访问和利用的特性d)以上都不对( )2.审核证据是指________a)与审核准则有关的,能够证实的记录、事实陈述或其他信息b)在审核过程中收集到的所有记录、事实陈述或其他信息c)一组方针、程序或要求d)以上都不对( )3.______ 属于系统威胁。
a)不稳定的电力供应b)硬件维护失误c)软件缺乏审计记录d)口令管理机制薄弱( )4.管理体系是指______a)建立方针和目标并实现这些目标的体系b)相互关联和相互作用的一组要素c)指挥和控制组织的协调的活动d)以上都不对( )5.信息安全管理实用规则ISO/IECl7799属于_____标准?a)词汇类标准b)要求类标准c)指南类标准d)以上都不对( )6.在信息安全管理体系____阶段应测量控制措施的有效性?a)建立b)实施和运行c)监视和评审d)保持和改进( )7.风险评价是指______a)系统地使用信息来识别风险来源和估计风险b)将估计的风险与给定的风险准则加以比较以确定风险严重性的过程c)指导和控制一个组织相关风险的协调活动d)以上都不对( )8.可使用_______来保护电子消息的保密性和完整性a)密码技术b)通信技术c)控制技术d)自动化技术( )9.现状不符合文件是指______a)标准要求的没有写到b)写到的没有做到c)做到的没有达到目标d)以上都不对( )10.以下属于计算机病毒感染事件的纠正措施的是_________a)对计算机病毒事件进行响应和处理b)将感染病毒的计算机从网络中隔离c)对相关责任人进行处罚d)以上都不是二、判断题(每题1分,共10分)你认为正确的在( )中划“√”,错误的划“x”。
( )1.客户资料不属于组织的信息资产。
( )2.组织的安全要求全部来源于风险评估。
( )3.通过使用资源和管理,将输入转化为输出的任意活动,称为过程。
( )4.组织必须首先从ISO/IEC27001附录A的控制措施列表中选取控制措施。
( )5.风险分析和风险评价的整个过程称为风险评估。
( )6.控制措施可以降低安全事件发生的可能性,但不能降低安全事件的潜在影响。
( )7.“资产责任人”,要求与信息处理设施有关的所有资产都应由指定人员承担责任。
( )8.网站信息由于属于公共可用信息,因此无须实施安全保密措施。
( )9.审核范围必须与受审核方信息安全管理体系范围一致。
( )10.当组织信息安全管理体系的基础发生重大变化而增加的一次审核称为监督审核。
三、填空题(每题1分,共5分)指出IS027001:2005标准中适用于下述情景的某项条款,请将条款号填在横线上。
1.“信息安全管理部的员工根据风险评估的结果,正在选择适当的控制措施。
”适用于这一情况的条款是——2.“某公司规定无论离职或调职,员工的原有系统访问权一律撤销。
”适用于这一情况的条款是——3.“某公司在其机房内贴了一张行为准则,员工在机房内工作时必须遵守。
”适用于这一情况的条款是——4.“公司重要服务器的操作记录中没有任何管理员操作的记录。
”适用于这一情况的条款是——5.“某公司的信息系统中使用了密码手段来保障其信息安全,但该公司的相关工作人员对我国密码方面的法律法规一无所知。
”适用于这一情况的条款是______四、问答题(1—3题每题5分,共15分;4.5题每题15分,共30分;共45分)1.什么是信息安全?组织的信息安全要求分为哪几类?并简要说明。