信息安全管理.docx

信息安全管理.docx

《信息安全管理.docx》由会员分享，可在线阅读，更多相关《信息安全管理.docx（63页珍藏版）》请在冰豆网上搜索。

信息安全管理

信息安全管理教程-题库信息安全管理教程-题库

一、判断题

1.根据IS013335标准，信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。

2.信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。

3.只要投资充足，技术措施完备，就能够保证百分之百的信息安全。

4.我国在2006年提出的（2006—2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。

年7月国家信息化领导小组第三次会议发布的27号文件，是指导我国信息安全保障工作和加快推进信息化的纲领性文献。

6.在我国，严重的网络犯罪行为也不需要接受刑法的相关处罚。

7.安全管理的合规性，主要是指在有章可循的基础之上，确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。

xp系统提供了口令安全策略，以对帐户口令安全进行保护。

9.信息安全等同于网络安全。

l7859与目前等级保护所规定的安全等级的含义不同，GBl7859中等级划分为现在的等级保护奠定了基础。

11.口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信：

息，进而非法获得系统和资源访问权限。

系统所有的安全操作都是通过数字证书来实现的。

系统使用了非对称算法．对称算法和散列算法。

14.一个完整的信息安全保障体系，应当包括安全策略（Policy）、保护（Protection）、检测（Detection）、响应（Reaction）、恢复（Restoration）五个主要环节。

15.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制，同样依赖于底层的物理、网络和系统等层面的安全状况。

16.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有局限性的错误观点。

17.按照BS7799标准，信息安全管理应当是一个持续改进的周期性过程。

18.虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。

19.一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。

20.定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。

21.网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。

22.网络边界保护中主要采用防火墙系统，在内网和外网之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作用。

23.防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。

24.我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。

25.信息技术基础设施库（ITIL），是由英国发布的关于IT服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。

26.美国国家标准技术协会NIST发布的《SP800—30》中详细阐述了IT系统风险管理内容。

27.防火墙在静态包过滤技术的基础上，通过会话状态检测技术将数据包的过滤处理效率大幅提高。

28.通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。

29.脆弱性分析技术，也被通俗地称为漏洞扫描技术。

该技术是检测远程或本地系统安全脆弱性的一种安全技术。

二、单选题

1.下列关于信息的说法______是错误的。

A.信息是人类社会发展的重要支柱

B.信息本身是无形的

C.信息具有价值，需要保护

D.信息可以以独立形态存在

2.信息安全经历了三个发展阶段，以下______不属于这三个发展阶段。

A.通信保密阶段B.加密机阶段

C.信息安全阶段D.安全保障阶段

3.信息安全在通信保密阶段对信息安全的关注局限在______安全属性。

A.不可否认性B.可用性

C.保密性D.完整性

4.信息安全在通信保密阶段中主要应用于______领域。

A.军事B.商业

C.科研D.教育

5.信息安全阶段将研究领域扩展到三个基本属性，下列______不属于这三个基本属性。

A.保密性B.完整性

C.不可否认性D.可用性

6.安全保障阶段中将信息安全体系归结为四个主要环节，下列______是正确的。

A.策略、保护、响应、恢复

B.加密、认证、保护、检测

C.策略、网络攻防、密码学、备份

D.保护、检测、响应、恢复

7.下面所列的______安全机制不属于信息安全保障体系中的事先保护环节。

A.杀毒软件B.数字证书认证

C.防火墙D.数据库加密

8.根据IS0的信息安全定义，下列选项中______是信息安全三个基本属性之一。

A.真实性B.可用性

C.可审计性D.可靠性

9.为了数据传输时不发生数据截获和信息泄密，采取了加密机制。

这种做法体现了信息安全的______属性。

A.保密性B.完整性

C.可靠性D.可用性

10.定期对系统和数据进行备份，在发生灾难时进行恢复。

该机制是为了满足信息安全的______属性。

A.真实性B.完整性

C.不可否认性D.可用性

11.数据在存储过程中发生了非法访问行为，这破坏了信息安全的______属性。

A.保密性B.完整性

C.不可否认性D.可用性

12.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的______属性。

A.保密性B.完整性

C.不可否认性D.可用性

安全模型属于______类型。

A.时间模型B.作用模型

C.结构模型D.关系模型

14.《信息安全国家学说》是______的信息安全基本纲领性文件。

A.法国B.美国

C.俄罗斯D.英国

15.下列的______犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。

A.窃取国家秘密

B.非法侵入计算机信息系统

C.破坏计算机信息系统

D.利用计算机实施金融诈骗

16.我国刑法______规定了非法侵入计算机信息系统罪。

A.第284条B.第285条

C.第286条D.第287条

17.信息安全领域内最关键和最薄弱的环节是______。

A.技术B.策略

C.管理制度D.人

18.信息安全管理领域权威的标准是______。

／IS027001

／IS027001最初是由______提出的国家标准。

A.美国B.澳大利亚

C.英国D.中国

的内容结构按照______进行组织。

A.管理原则

B.管理框架

C.管理域-控制目标-控制措施

D.管理制度

对于信息安全管理负有责任。

A.高级管理层

B.安全管理员

管理员

D.所有与信息系统有关人员

22.对于提高人员安全意识和安全操作技能来说，以下所列的安全管理最有效的是______。

A.安全检查B.教育与培训

C.责任追究D.制度约束

23.《计算机信息系统安全保护条例》是由中华人民共和国______第l47号发布的。

A.国务院令

B.全国人民代表大会令

C.公安部令

D.国家安全部令

24.《互联网上网服务营业场所管理条例》规定，______负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。

A.人民法院B.公安机关

C.工商行政管理部门D.国家安全部门

25.计算机病毒最本质的特性是______。

A.寄生性B.潜伏性

C.破坏性D.攻击性

安全策略是得到大部分需求的支持并同时能够保护企业的利益。

A.有效的B.合法的

C.实际的D.成熟的

27.在PDR安全模型中最核心的组件是______。

A.策略B.保护措施

C.检测措施D.响应措施

28.制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的设施，在发生灾难后，这些设施的______。

A.恢复预算是多少B.恢复时间是多长

C.恢复人员有几个D.恢复设备有多少

29.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为______。

A.可接受使用策略AUP

B.安全方针

C.适用性声明

D.操作规范

30.对保护数据来说，功能完善、使用灵活的______必不可少。

A.系统软件B.备份软件

C.数据库软件D.网络软件

31.防止静态信息被非授权访问和防止动态信息被截取解密是______。

A.数据完整性B.数据可用性

C.数据可靠性D.数据保密性

32.用户身份鉴别是通过______完成的。

A.口令验证B.审计策略

C.存取控制D.查询功能

33.故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人，由公安机关处以______。

年以下有期徒刑或拘役

B.警告或者处以5000元以下的罚款

年以上7年以下有期徒刑

D.警告或者15000元以下的罚款

34.网络数据备份的实现主要需要考虑的问题不包括______。

A.架设高速局域网B.分析应用环境

C.选择备份硬件设备D.选择备份管理软件

35.《计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件，有关使用单位应当在______向当地县级以上人民政府公安机关报告。

小时内小时内

小时内小时内

36.公安部网络违法案件举报网站的网址是______。

C.

37.对于违反信息安全法律、法规行为的行政处罚中，______是较轻的处罚方式。

A.警告B.罚款

C.没收违法所得D.吊销许可证

38.对于违法行为的罚款处罚，属于行政处罚中的______。

A.人身自由罚B.声誉罚

C.财产罚D.资格罚

39.对于违法行为的通报批评处罚，属于行政处罚中的______。

A.人身自由罚B.声誉罚

C.财产罚D.资格罚

年2月国务院发布的《计算机信息系统安全保护条例》赋予______对计算机信息系统的安全保护工作行使监督管理职权。

A.信息产业部B.全国人大

C.公安机关D.国家工商总局

41.《计算机信息网络国际联网安全保护管理办法》规定，互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起______日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。

42.互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存天记录备份的功能。

43.对网络层数据包进行过滤和控制的信息安全技术机制是______。

A.防火墙

44.下列不属于防火墙核心技术的是______。

A.（静态/动态）包过滤技术

技术

C.应用代理技术

D.日志审计

45.应用代理防火墙的主要优点是______。

A.加密强度更高

B.安全控制更细化、更灵活

C.安全服务的透明性更好

D.服务对象更广泛

46.安全管理中经常会采用“权限分离”的办法，防止单个人员权限过高，出现内部人员的违法犯罪行为，“权限分离”属于______控制措施。

A.管理B.检测

C.响应D.运行

47.安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为，属于______控制措施。

A.管理B.检测

C.响应D.运行

48.下列选项中不属于人员安全管理措施的是______。

A.行为监控B.安全培训

C.人员离岗D.背景/技能审查

49.《计算机病毒防治管理办法》规定，______主管全国的计算机病毒防治管理工作。

A.信息产业部

B.国家病毒防范管理中心

C.公安部公共信息网络安全监察

D.国务院信息化建设领导小组

50.计算机病毒的实时监控属于______类的技术措施。

A.保护B.检测

C.响应D.恢复

51.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是______。

A.防火墙隔离

B.安装安全补丁程序

C.专用病毒查杀工具

D.部署网络入侵检测系统

52.下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是______。

A.防火墙隔离

B.安装安全补丁程序

C.专用病毒查杀工具

D.部署网络入侵检测系统

53.下列不属于网络蠕虫病毒的是______。

A.冲击波

SLAMMER

D.振荡波

54.传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了______等重要网络资源。

A.网络带宽B.数据包

C.防火墙

不是计算机病毒所具有的特点。

A.传染性B.破坏性

C.潜伏性D.可预见性

56.关于灾难恢复计划错误的说法是______。

A.应考虑各种意外情况

B.制定详细的应对处理办法

C.建立框架性指导原则，不必关注于细节

D.正式发布前，要进行讨论和评审

57.对于远程访问型VPN来说，______产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。

VPN

VPN

VPN

VPN

年，我国发布的第一个信息安全等级保护的国家标准GB

17859—1999，提出将信息系统的安全等级划分为______个等级，并提出每个级别的安全功能要求。

59.等级保护标准GBl7859主要是参考了______而提出。

A.欧洲ITSECB.美国TCSEC

7799

60.我国在1999年发布的国家标准______为信息安全等级保护奠定了基础。

l77998

l5408

l7859

l4430

61.信息安全登记保护的5个级别中，______是最高级别，属于关系到国计民生的最关键信息系统的保护。

A.强制保护级B.专控保护级

C.监督保护级D.指导保护级

E.自主保护级

62.《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。

A.安全定级B.安全评估

C.安全规划D.安全实施

是进行等级确定和等级保护管理的最终对象。

A.业务系统B.功能模块

C.信息系统D.网络系统

64.当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系统的安全等级应当由______所确定。

A.业务子系统的安全等级平均值

B.业务子系统的最高安全等级

C.业务子系统的最低安全等级

D.以上说法都错误

65.下列关于风险的说法，______是错误的。

A.风险是客观存在的

B.导致风险的外因是普遍存在的安全威胁

C.导致风险的外因是普遍存在的安全脆弱性

D.风险是指一种可能性

66.下列关于风险的说法，______是正确的。

A.可以采取适当措施，完全清除风险

B.任何措施都无法完全清除风险

C.风险是对安全事件的确定描述

D.风险是固有的，无法被控制

67.风险管理的首要任务是______。

A.风险识别和评估B.风险转嫁

C.风险控制D.接受风险

68.关于资产价值的评估，______说法是正确的。

A.资产的价值指采购费用

B.资产的价值无法估计

C.资产价值的定量评估要比定性评估简单容易

D.资产的价值与其重要性密切相关

69.采取适当的安全控制措施，可以对风险起到______作用。

A.促进B.增加

C.减缓D.清楚

70.当采取了安全控制措施后，剩余风险______可接受风险的时候，说明风险管理是有效的。

A.等于B.大于

C.小于D.不等于

71.安全威胁是产生安全事件的______。

A.内因B.外因

C.根本原因D.不相关因素

72.安全脆弱性是产生安全事件的______。

A.内因B.外因

C.根本原因D.不相关因素

73.下列关于用户口令说法错误的是______。

A.口令不能设置为空

B.口令长度越长，安全性越高

C.复杂口令安全性足够高，不需要定期修改

D.口令认证是最常见的认证机制

74.在使用复杂度不高的口令时，容易产生弱令的安全脆弱性，被攻击者利用，从而破解用户帐户，下列______具有最好的口令复杂度。

.$*F2m5@

C.

75.按照通常的口令使用策略，口令修改操作的周期应为______天。

76.对口令进行安全性管理和使用，最终是为了______。

A.口令不被攻击者非法获得

B.防止攻击者非法获得访问和操作权限

C.保证用户帐户的安全性

D.规范用户操作行为

77.人们设计了______，以改善口令认证自身安全性不足的问题。

A.统一身份管理B.指纹认证

C.数字证书认证D.动态口令认证机制

是______。

KeyInfrastructure

KeyInstitute

KeyInfrastructure

KeyInstitute

79.公钥密码基础设施PKI解决了信息系统中的______问题。

A.身份信任B.权限管理

C.安全审计D.加密

所管理的基本元素是______。

A.密钥B.用户身份

C.数字证书D.数字签名

81.最终提交给普通终端用户，并且要求其签署和遵守的安全策略是______。

A.口令策略B.保密协议

C.可接受使用策略D.责任追究制度

82.下列关于信息安全策略维护的说法，______是错误的。

A.安全策略的维护应当由专门的部门完成

B.安全策略制定完成并发布之后，不需要再对其进行修改

C.应当定期对安全策略进行审查和修订

D.维护工作应当周期性进行

83.链路加密技术是在OSI协议层次的第二层，数据链路层对数据进行加密保护，其处理的对象是______。

A.比特流数据包

C.数据帧D.应用数据

84.防火墙最主要被部署在______位置。

A.网络边界B.骨干线路

C.重要服务器D.桌面终端

85.下列关于防火墙的错误说法是______。

A.防火墙工作在网络层

B.对IP数据包进行分析和过滤

C.重要的边界保护机制

D.部署防火墙，就解决了网络安全问题

协议工作在______层次。

A.数据链路层B.网络层

C.应用层D.传输层

协议中涉及到密钥管理的重要协议是______。

88.信息安全管理中，______负责保证安全管理策略与制度符合更高层法律、法规的要求，不发生矛盾和冲突。

A.组织管理B.合规性管理

C.人员管理D.制度管理

89.下列______机制不属于应用层安全。

A.数字签名B.应用代理

C.主机入侵检测D.应用审计

90.保证用户和进程完成自己的工作而又没有从事其他操作可能，这样能够使失误出错或蓄意袭击造成的危害降低，这通常被称为______。

A.适度安全原则B.授权最小化原则

C.分权原则D.木桶原则

91.入侵检测技术可以分为误用检测和______两大类。

A.病毒检测B.详细检测

C.异常检测D.漏洞检测

92.安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于______措施。

A.保护B.检测

C.响应D.恢复

不属于必需的灾前预防性措施。

A.防火设施

B.数据备份

C.配置冗余设备

D.不间断电源，至少应给服务器等关键设备配备

94.对于人员管理的描述错误的是______。

A.人员管理是安全管理的重要环节

B.安全授权不是人员管理的手段

C.安全教育是人员管理的有力手段

D.人员管理时，安全审查是必须的

95.根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行______。

A.逻辑隔离B.物理隔离

C.安装防火墙划分

96.安全评估技术采用______这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。

A.安全扫描器B.安全扫描仪

C.自动扫描器D.自动扫描仪

最好地描述了数字证书。

A.等同于在网络上证明个人和公司身份的身份证

B.浏览器的一标准特性，它使得黑客不能得知用户的身份

C.网站要求用户使用用户名和密码登陆的安全机制

D.伴随在线交易证明购买的收据

98.根据BS7799的规定，建立的信息安全管理体系ISMS的最重要特征是______。

A.全面性B.文档化

C.先进性D.制度化

99.根据BS7799的规定，对信息系统的安全管理不能只局限于对其运行期间的管理维护，而要将管理措施扩展到信息系统生命周期的其他阶段，BS

7799中与此有关的一个重要方面就是______。

A.访问控制

B.业务连续性

C.信息系统获取、开发与维护

D.组织与人员

100.如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。

那么该信息系统属于等级保护中的______。

A.强制保护级B.监督保护级

C.指导保护级D.自主保护级

101.如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。

那么其在等级保护中属于______。

A.强制保护级B.监督保护级

C.指导保护级D.自主保护级

102.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照