信息安全管理考試真題

一、判斷題（本題共15道題，每題1分，共15分。請認真閱讀題目，然后在對的題目后面打，在錯誤的題目后面打）1. 口令認證機制的安全性弱點，可以使得攻擊者破解合法用戶帳戶信：息，進而非法獲得系統(tǒng)和資源訪問權(quán)限。()2. PKI系統(tǒng)所有的安全操作都是通過數(shù)字證書來實現(xiàn)的。()3. PKI系統(tǒng)使用了非對稱算法對稱算法和散列算法。()4. 一個完整的信息安全保障體系，應(yīng)當包括安全策略(Policy)、保護(Protection)、檢測(Detection)、響應(yīng)(Reaction)、恢復(fù)(Restoration)五個主要環(huán)節(jié)。()5. 信息安全的層次化特點決定了應(yīng)用系統(tǒng)的安全不僅取決于應(yīng)用層安全機制，同樣依賴于底層的物理、網(wǎng)絡(luò)和系統(tǒng)等層面的安全狀況。()6. 實現(xiàn)信息安全的途徑要借助兩方面的控制措施、技術(shù)措施和管理措施，從這里就能看出技術(shù)和管理并重的基本思想，重技術(shù)輕管理，或者重管理輕技術(shù)，都是不科學(xué)，并且有局限性的錯誤觀點。()7. 按照BS 7799標準，信息安全管理應(yīng)當是一個持續(xù)改進的周期性過程。() 8. 雖然在安全評估過程中采取定量評估能獲得準確的分析結(jié)果，但是由于參數(shù)確定較為困難，往往實際評估多采取定性評估，或者定性和定量評估相結(jié)合的方法。()9. 一旦發(fā)現(xiàn)計算機違法犯罪案件，信息系統(tǒng)所有者應(yīng)當在2天內(nèi)迅速向當?shù)毓矙C關(guān)報案，并配合公安機關(guān)的取證和調(diào)查。() 10. 定性安全風險評估結(jié)果中，級別較高的安全風險應(yīng)當優(yōu)先采取控制措施予以應(yīng)對。()11. 網(wǎng)絡(luò)邊界保護中主要采用防火墻系統(tǒng)，為了保證其有效發(fā)揮作用，應(yīng)當避免在內(nèi)網(wǎng)和外網(wǎng)之間存在不經(jīng)過防火墻控制的其他通信連接。()12. 網(wǎng)絡(luò)邊界保護中主要采用防火墻系統(tǒng)，在內(nèi)網(wǎng)和外網(wǎng)之間存在不經(jīng)過防火墻控制的其他通信連接，不會影響到防火墻的有效保護作用。() 13. 防火墻雖然是網(wǎng)絡(luò)層重要的安全機制，但是它對于計算機病毒缺乏保護能力。()14. 我國刑法中有關(guān)計算機犯罪的規(guī)定，定義了3種新的犯罪類型。() 15. 信息技術(shù)基礎(chǔ)設(shè)施庫(ITIL)，是由英國發(fā)布的關(guān)于IT服務(wù)管理最佳實踐的建議和指導(dǎo)方針，旨在解決IT服務(wù)質(zhì)量不佳的情況。()二、選擇題（本題共25道題，每題1分，共25分。請認真閱讀題目，且每個題目只有一個正確答案，并將答案填寫在題目相應(yīng)位置。）1. 防止靜態(tài)信息被非授權(quán)訪問和防止動態(tài)信息被截取解密是_D_。A.數(shù)據(jù)完整性 B.數(shù)據(jù)可用性 C.數(shù)據(jù)可靠性 D.數(shù)據(jù)保密性 2. 用戶身份鑒別是通過_A_完成的。A.口令驗證 B.審計策略 C.存取控制 D.查詢功能 3. 故意輸入計算機病毒以及其他有害數(shù)據(jù)，危害計算機信息系統(tǒng)安全的個人，由公安機關(guān)處以_B_。A. 3年以下有期徒刑或拘役 B. 警告或者處以5000元以下的罰款 C. 5年以上7年以下有期徒刑 D. 警告或者15000元以下的罰款 4. 網(wǎng)絡(luò)數(shù)據(jù)備份的實現(xiàn)主要需要考慮的問題不包括_A_。A.架設(shè)高速局域網(wǎng) B.分析應(yīng)用環(huán)境 C.選擇備份硬件設(shè)備 D.選擇備份管理軟件 5. 計算機信息系統(tǒng)安全保護條例規(guī)定，對計算機信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當在_C_向當?shù)乜h級以上人民政府公安機關(guān)報告。A.8小時內(nèi) B.12小時內(nèi) C.24小時內(nèi) D.48小時內(nèi) 6. 公安部網(wǎng)絡(luò)違法案件舉報網(wǎng)站的網(wǎng)址是_C_。A. B. C. D. 7. 對于違反信息安全法律、法規(guī)行為的行政處罰中，_A_是較輕的處罰方式。A.警告 B.罰款 C.沒收違法所得 D.吊銷許可證 8. 對于違法行為的罰款處罰，屬于行政處罰中的_C_。A.人身自由罰 B.聲譽罰 C.財產(chǎn)罰 D.資格罰 9. 對于違法行為的通報批評處罰，屬于行政處罰中的_B_。A.人身自由罰 B.聲譽罰 C.財產(chǎn)罰 D.資格罰 10 1994年2月國務(wù)院發(fā)布的計算機信息系統(tǒng)安全保護條例賦予_C_對計算機信息系統(tǒng)的安全保護工作行使監(jiān)督管理職權(quán)。A.信息產(chǎn)業(yè)部 B.全國人大 C.公安機關(guān) D.國家工商總局 11. 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法規(guī)定，互聯(lián)單位、接入單位、使用計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的法人和其他組織(包括跨省、自治區(qū)、直轄市聯(lián)網(wǎng)的單位和所屬的分支機構(gòu))，應(yīng)當自網(wǎng)絡(luò)正式聯(lián)通之日起_D_日內(nèi)，到所在地的省、自治區(qū)、直轄市人民政府公安機關(guān)指定的受理機關(guān)辦理備案手續(xù)。A.7 B.10 C.15 D.30 12. 互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位落實的記錄留存技術(shù)措施，應(yīng)當具有至少保存_C_天記錄備份的功能。A.10 B.30 C.60 D.90 13. 對網(wǎng)絡(luò)層數(shù)據(jù)包進行過濾和控制的信息安全技術(shù)機制是_A_。A.防火墻 B.IDS C.Sniffer D.IPSec 14. 針對操作系統(tǒng)安全漏洞的蠕蟲病毒根治的技術(shù)措施是_B_。A. 防火墻隔離 B. 安裝安全補丁程序 C. 專用病毒查殺工具 D. 部署網(wǎng)絡(luò)入侵檢測系統(tǒng) 15. 下列能夠有效地防御未知的新病毒對信息系統(tǒng)造成破壞的安全措施是_A_。A. 防火墻隔離 B. 安裝安全補丁程序 C. 專用病毒查殺工具 D. 部署網(wǎng)絡(luò)入侵檢測系統(tǒng) 16. 下列不屬于網(wǎng)絡(luò)蠕蟲病毒的是_C_。A. 沖擊波 B. SQL SLAMMER C. CIH D. 振蕩波 17. 傳統(tǒng)的文件型病毒以計算機操作系統(tǒng)作為攻擊對象，而現(xiàn)在越來越多的網(wǎng)絡(luò)蠕蟲病毒將攻擊范圍擴大到了_A_等重要網(wǎng)絡(luò)資源。A.網(wǎng)絡(luò)帶寬 B.數(shù)據(jù)包 C.防火墻 D.LINUX 18. 對于遠程訪問型VPN來說，_A_產(chǎn)品經(jīng)常與防火墻及NAT機制存在兼容性問題，導(dǎo)致安全隧道建立失敗。A. IPSee VPN B. SSL VPN C. MPLS VPN D. L2TP VPN 19. 1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB 178591999，提出將信息系統(tǒng)的安全等級劃分為_D_個等級，并提出每個級別的安全功能要求。A.7 B.8 C.6 D.5 20. 等級保護標準GB l7859主要是參考了_B_而提出。A.歐洲ITSEC B.美國TCSEC C.CC D.BS 7799 21. 我國在1999年發(fā)布的國家標準_C_為信息安全等級保護奠定了基礎(chǔ)。A. GB l77998 B. GB l5408 C. GB l7859 D. GB l4430 22. 信息安全登記保護的5個級別中，_B_是最高級別，屬于關(guān)系到國計民生的最關(guān)鍵信息系統(tǒng)的保護。A.強制保護級 B.?？乇Ｗo級 C.監(jiān)督保護級 D.指導(dǎo)保護級 E.自主保護級 23. 信息系統(tǒng)安全等級保護實施指南將_A_作為實施等級保護的第一項重要內(nèi)容。A.安全定級 B.安全評估 C.安全規(guī)劃 D.安全實施 24. _C_是進行等級確定和等級保護管理的最終對象。A.業(yè)務(wù)系統(tǒng) B.功能模塊 C.信息系統(tǒng) D.網(wǎng)絡(luò)系統(tǒng) 25. 當信息系統(tǒng)中包含多個業(yè)務(wù)子系統(tǒng)時，對每個業(yè)務(wù)子系統(tǒng)進行安全等級確定，最終信息系統(tǒng)的安全等級應(yīng)當由_B_所確定。A. 業(yè)務(wù)子系統(tǒng)的安全等級平均值 B. 業(yè)務(wù)子系統(tǒng)的最高安全等級 C. 業(yè)務(wù)子系統(tǒng)的最低安全等級 D. 以上說法都錯誤 三、多選題（本題共15道題，每題2分，共30分。請認真閱讀題目，且每個題目至少有兩個答案，并將答案填寫在題目相應(yīng)位置。）1. 在局域網(wǎng)中計算機病毒的防范策略有_。(ADE)A.僅保護工作站 B.保護通信系統(tǒng) C.保護打印機 D.僅保護服務(wù)器 E.完全保護工作站和服務(wù)器 2. 在互聯(lián)網(wǎng)上的計算機病毒呈現(xiàn)出的特點是_。(ABCD)A. 與互聯(lián)網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進行傳播B. 具有多種特征，破壞性大大增強C. 擴散性極強，也更注重隱蔽性和欺騙性D. 針對系統(tǒng)漏洞進行傳播和破壞3. 一個安全的網(wǎng)絡(luò)系統(tǒng)具有的特點是_。(ABCE)A. 保持各種數(shù)據(jù)的機密 B. 保持所有信息、數(shù)據(jù)及系統(tǒng)中各種程序的完整性和準確性 C. 保證合法訪問者的訪問和接受正常的服務(wù) D. 保證網(wǎng)絡(luò)在任何時刻都有很高的傳輸速度 E. 保證各方面的工作符合法律、規(guī)則、許可證、合同等標準 4. 任何信息安全系統(tǒng)中都存在脆弱點，它可以存在于_。(ABCDE)A.使用過程中 B.網(wǎng)絡(luò)中 C.管理過程中 D.計算機系統(tǒng)中 E.計算機操作系統(tǒng)中 5. _是建立有效的計算機病毒防御體系所需要的技術(shù)措施。(ABCDE)A.殺毒軟件 B.補丁管理系統(tǒng) C.防火墻 D.網(wǎng)絡(luò)入侵檢測 E.漏洞掃描 6. 信息系統(tǒng)安全保護法律規(guī)范的作用主要有_。(ABCDE)A.教育作用 B.指引作用 C.評價作用 D.預(yù)測作用 E.強制作用 7. 根據(jù)采用的技術(shù)，入侵檢測系統(tǒng)有以下分類：_。(BC)A.正常檢測 B.異常檢測 C.特征檢測D.固定檢測 E.重點檢測 8. 在安全評估過程中，安全威脅的來源包括_。(ABCDE)A.外部黑客 B.內(nèi)部人員 C.信息技術(shù)本身 D.物理環(huán)境 E.自然界 9. 安全評估過程中，經(jīng)常采用的評估方法包括_。(ABCDE)A.調(diào)查問卷 B.人員訪談 C.工具檢測 D.手工審核 E.滲透性測試 10. 根據(jù)ISO定義，信息安全的保護對象是信息資產(chǎn)，典型的信息資產(chǎn)包括_。(BC)A.硬件 B.軟件 C.人員 D.數(shù)據(jù) E.環(huán)境 11. 根據(jù)ISO定義，信息安全的目標就是保證信息資產(chǎn)的三個基本安全屬性，包括_。(BCD)A.不可否認性 B.保密性 C.完整性 D.可用性 E.可靠性 12. 治安管理處罰法規(guī)定，_行為，處5日以下拘留；情節(jié)較重的，處5日以上10日以下拘留。(ABCD)A. 違反國家規(guī)定，侵入計算機信息系統(tǒng)，造成危害的 B. 違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行的 C. 違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的 D. 故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統(tǒng)正常運行的 13. 網(wǎng)絡(luò)蠕蟲病毒越來越多地借助網(wǎng)絡(luò)作為傳播途徑，包括_。(ABCDE)A.互聯(lián)網(wǎng)瀏覽 B.文件下載 C.電子郵件 D.實時聊天工具 E.局域網(wǎng)文件共享 14. 在信息安全管理中進行安全教育與培訓(xùn)，應(yīng)當區(qū)分培訓(xùn)對象的層次和培訓(xùn)內(nèi)容，主要包括_(ABE)A.高級管理層 B.關(guān)鍵技術(shù)崗位人員 C.第三方人員 D.外部人員 E.普通計算機用戶 15. 網(wǎng)絡(luò)入侵檢測系統(tǒng)，既可以對外部黑客的攻擊行為進行檢測，也可以發(fā)現(xiàn)內(nèi)部攻擊者的操作行為，通常部署在_。(BC)A. 關(guān)鍵服務(wù)器主機 B. 網(wǎng)絡(luò)交換機的監(jiān)聽端口 C. 內(nèi)網(wǎng)和外網(wǎng)的邊界 D. 桌面系統(tǒng) E. 以上都正確 四、簡答題（本題共5道題，14題，每題5分，第5小題10分，共30分。）1. 簡述安全策略體系所包含的內(nèi)容。答：一個合理的信息安全策略體系可以包括三個不同層次的策略文檔： （1）總體安全策略，闡述了指導(dǎo)性的戰(zhàn)略綱領(lǐng)性文件，闡明了企業(yè)對于信息安全的看法和立場、信息安全的目標和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責任認定以及對于信息資產(chǎn)的管理辦法等內(nèi)容； （2）針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、使用辦法、強制要求、角色、責任認定等內(nèi)容，例如，針對Internet訪問操作、計算機和網(wǎng)絡(luò)病毒 防治、口令的使用和管理等特定問題，制定有針對性的安全策略； （3）針對特定系統(tǒng)的具體策略，更為具體和細化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護規(guī)則等內(nèi)容，如防火墻配置策略、電子郵件安全策略等。 2. 簡述我國信息安全等級保護的級別劃分。答： (1)第一級為自我保護級。其主要對象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對公民、法人和其它組織的合法權(quán)益產(chǎn)生損害，但不損害國家安全、社會秩序和公共利益；本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護。 (2)第二級為指導(dǎo)保護級。其主要對象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全；本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，必要時，信息安全監(jiān)管職能部門對其進行指導(dǎo)。 (3)第三級為監(jiān)管保護級。其主要對象為涉及國家安全、社會秩序和公共利益的主要信息系統(tǒng)，器業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成較大損害；本機系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查。 (4)第四級為強制保護級。其主要對象為涉及國家安全、社會秩序和公共利益的主要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害；本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查。 (5)第五級為專控保護級。其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全社會秩序和公共利益造成特別嚴重損害；本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，國家指定專門部門、專門機構(gòu)進行專門監(jiān)督、檢查。 3. 簡述信息安全脆弱性的分類及其內(nèi)容。答：信息安全脆弱性的分類及其內(nèi)容如下所示； 脆弱性分類： 一、技術(shù)脆弱性 1、物理安全：物理設(shè)備的訪問控制、電力供應(yīng)等 2、網(wǎng)絡(luò)安全：基礎(chǔ)網(wǎng)絡(luò)構(gòu)架、網(wǎng)絡(luò)傳輸加密、訪問控制、網(wǎng)絡(luò)設(shè)備安全漏洞、設(shè)備配置安全等 3、系統(tǒng)安全：應(yīng)用軟件安全漏洞、軟件安全功能、數(shù)據(jù)防護等