信息安全等級測評師模擬測試(3)-技術(shù)初級

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)單選題（20分）以下關(guān)于信息系統(tǒng)安全建設(shè)整改工作方中說琺中不正確的是？（ ）A、突出重要系統(tǒng)，涉及所有等級，試點(diǎn)示范，行業(yè)推廣。B、利用信息安全等圾保護(hù)測評工作使等級保護(hù)工作常態(tài)化。C、管理制度建設(shè)和技術(shù)措施建設(shè)同步或分步實(shí)施。D、加快改造，缺什么補(bǔ)什么，也可以進(jìn)總體安全建設(shè)整改規(guī)劃。測評要求和哪一個文件是對用戶系統(tǒng)測評的依據(jù)？（ ）A、信息系統(tǒng)安全等級保護(hù)實(shí)施指南。B、信息系統(tǒng)安全保護(hù)等級定級指南。C、信息系統(tǒng)安全等級保護(hù)基本要求。D、信息系統(tǒng)安全等級保護(hù)管理辦法。測

2、評單位開展工作的政策依據(jù)是？（ ）A、公通字2004 66號。B、公信安2008 736。C、公信安2010 303號。D、發(fā)改高技2008 2071。linux中關(guān)于登陸程序的配置文件默認(rèn)的為？（ ）Jetc/pam.d/system-auth/etc/login.defs/etc/shadow/etc/passwd以下關(guān)于信息安全等級保護(hù)標(biāo)準(zhǔn)體系說法不正確的？（ ）基礎(chǔ)標(biāo)準(zhǔn)：GB 178591999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則, 在此基礎(chǔ)上制定出技術(shù)類、管理類、產(chǎn)品類標(biāo)準(zhǔn)。安全要求：GB/T222392008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求一信息系統(tǒng)安全等級保護(hù)的行業(yè)規(guī)范。系

3、統(tǒng)定級：GBT183362008信息安全技術(shù)信息系統(tǒng)安全評估準(zhǔn)則信息系統(tǒng)安全等級保護(hù)行業(yè)定級評估。方法指導(dǎo)：信息系統(tǒng)安全等級保護(hù)實(shí)施指南、信息系統(tǒng)等級保護(hù)安 全設(shè)計(jì)技術(shù)要求?，F(xiàn)狀分析：信息系統(tǒng)安全等級保護(hù)測評要求、信息系統(tǒng)安全等級保 護(hù)測評過程指南。等保三級中網(wǎng)絡(luò)安全包括（ ）個要求項(xiàng)？A、20。B、26。C、33。D、36。信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過程，稱為（ ）。A、客體。B、客觀方面。C、等級保護(hù)對象。D、系統(tǒng)服務(wù)。發(fā)現(xiàn)入侵的最簡單最直接的方法是去看()和()？（ ）審計(jì)記錄、系統(tǒng)文件。系統(tǒng)記錄、安全審計(jì)文件。系統(tǒng)記錄、系統(tǒng)文件。審計(jì)記錄、安全審計(jì)文件。在安全評估過程中，

4、采?。?）手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性？A、問卷調(diào)查。B、人員訪談。C、滲透性測試。D、手工檢查。安全操作系統(tǒng)的核心內(nèi)容是？（ ）A、防病毒。B、加密。C、解密。D、訪問控制。系統(tǒng)建設(shè)管理中要求，對新建系統(tǒng)首先要進(jìn)行（ ），在進(jìn)行方案設(shè)計(jì)。A、定級。B、規(guī)劃。C、需求分析。D、測評。Windows操作系統(tǒng)中，本地登錄權(quán)限對（ ）用戶組不開放。GuestAdministartorsUsersEveryone等級保護(hù)測評的執(zhí)行主體最好選擇？（ ）A、獨(dú)立的第三方測評服務(wù)機(jī)構(gòu)。B、具有相關(guān)資質(zhì)的、獨(dú)立的第三方測評服務(wù)機(jī)構(gòu)。C、從事系統(tǒng)集成和信息安全產(chǎn)品開發(fā)等安全服務(wù)機(jī)構(gòu)。D、具有相

5、關(guān)資質(zhì)的、從事系統(tǒng)集成和信息安全產(chǎn)品開發(fā)等安全服務(wù)機(jī)構(gòu)。從系統(tǒng)結(jié)構(gòu)上來看，入侵檢測系統(tǒng)可以不包括？（ ）A、數(shù)據(jù)源。 B、分析引擎。C、審計(jì)。 D、響應(yīng)。CISCO的配置通過什么協(xié)議備份？（ ）A、ftpB、tftpC、telnetD、SSh通過（ ）對安全現(xiàn)狀評估產(chǎn)生的結(jié)果，說明了系統(tǒng)安全保護(hù)方面與等級保護(hù)基本要求之間的差距，這種差距是對系統(tǒng)進(jìn)一步安全改造的依據(jù)。A、定級。 B、備案。C、等級測評。 D、安全建設(shè)整改。哪項(xiàng)不是開展主機(jī)工具測試所必須了解的信息？（ ）A、操作系統(tǒng)B、應(yīng)用軟件C、IP地址D、物理位置從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱？（ ）A、安全等級保護(hù)。 B、信

6、息系統(tǒng)等級保護(hù)。C、系統(tǒng)服務(wù)安全保護(hù)等級。 D、業(yè)務(wù)信息安全保護(hù)等級。應(yīng)用安全包括身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性和（ ）抗抵賴、軟件容錯、資源控制。不可否認(rèn)性、軟件容錯、資源控制?？沟仲?、軟件刪除、資源控制。抗抵賴、軟件容錯、系統(tǒng)控制。下列關(guān)于安全審計(jì)的內(nèi)容說法中錯誤的是？（ ）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄。審計(jì)記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否 成功及其他與審計(jì)相關(guān)的信息。應(yīng)能根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成報表。為了節(jié)約存儲空間，審計(jì)記錄可以隨意刪除、修改或覆蓋。多選題（26分）以下對信息系統(tǒng)安全建設(shè)

7、整改工作的復(fù)雜性和艱巨性說法正確的是？（ ）政策性和技術(shù)性很強(qiáng)。涉及范圍廣。信息系統(tǒng)安全加固改造，需要國家在經(jīng)費(fèi)上予以支持。跨省全國聯(lián)網(wǎng)的大系統(tǒng)結(jié)構(gòu)復(fù)雜運(yùn)行實(shí)時保障性高、數(shù)據(jù)重要，加固改造周期長。下列訪問控制屬于按層面劃分的為？（ ）A、自主訪問控制。B、物理訪問控制。C、主機(jī)訪問控制。D、強(qiáng)制訪問控制。Windows系統(tǒng)中的審計(jì)日志包括（ ）。A、系統(tǒng)日志。B、安全日志。C、應(yīng)用程序日志。D、用戶日志。經(jīng)測評，計(jì)算機(jī)信息系統(tǒng)安全狀況未達(dá)到國家有關(guān)規(guī)定和標(biāo)準(zhǔn)的要求的，須（ ）。委托單位應(yīng)當(dāng)根據(jù)測評報告的建議，完善計(jì)算機(jī)信息系統(tǒng)安全建設(shè)。重新提出安全測評委托。另行委托其他測評機(jī)構(gòu)進(jìn)行測評。自行進(jìn)

8、行安全測評。unix/linux系統(tǒng)中的密碼信息保存在，etc/passwd或/etc/shadow文件中，信息包含的內(nèi)容有（ ）。最近使用過的密碼。用戶可以再次改變密碼必須經(jīng)過的最小周期。密碼最近的改變時間。密碼有效的最大天數(shù)一這三條部是在shadow文件里記錄的。信息安全等級促護(hù)管理辦法中要求第三圾以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件（ ）的等級保護(hù)測評機(jī)構(gòu)進(jìn)行測評。在中華人民共和國境內(nèi)注冊成立。由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位。具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度。工作人員僅限于中國公民。常見的數(shù)據(jù)備份有哪些形式?（ ）完全備份。差異備

9、份。增量備份。日志備份。計(jì)算機(jī)信息系統(tǒng)運(yùn)營、使用單位委托安全測評機(jī)構(gòu)測評，應(yīng)當(dāng)提交下列瓷料的主要有？（ ）安全測評委托書。定級報告。計(jì)算機(jī)信息系統(tǒng)應(yīng)用需求、系統(tǒng)結(jié)構(gòu)拓?fù)浼罢f明、系統(tǒng)安全組織結(jié)構(gòu)和管理制度、安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單。安全策略文檔。下列不屬于安全產(chǎn)品的有（ ）A、行為審計(jì)。B、交換機(jī)。C、防火墻。D、路由器。E、IDS和IPS。F、堡壘機(jī)。三級信息系統(tǒng)的測試驗(yàn)收包括如下（ ）內(nèi)容。應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出縣安全性測試報告。在測試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方室，在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試

10、驗(yàn)收結(jié)果，并形成測試驗(yàn)收報告。應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗(yàn)收的管理并按照管理規(guī)定的要求完成系統(tǒng)測試驗(yàn)收工作。應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試殮收報告進(jìn)行審定，并簽字確認(rèn)。三級信息系統(tǒng)的等級測評包括如下（ ）內(nèi)容。在系統(tǒng)運(yùn)行過程中，應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等圾保護(hù)標(biāo)準(zhǔn)要求的及時整改。應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等圾測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改。應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)相安全資質(zhì)的測評單位進(jìn)行等圾測評。應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。信息安全等級保護(hù)測評工作原則，主要包括（ ）A

11、、規(guī)范性原則。B、整體性原則。C、最小影響原則。D、保密性原則。等級測評實(shí)施過程中可能存在的風(fēng)險，主要有（ ）A、驗(yàn)證測試影響系統(tǒng)正常運(yùn)行。B、工具測試影響系統(tǒng)正常運(yùn)行。C、敏感信息泄露，D、受到惡意攻擊。填空題（16分）針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，信息和信息系統(tǒng)的安全保護(hù)等級共分哪五級？（ ）、（ ）、（ ）、（ ）、（ ）。通過組織開展信息安全等級保護(hù)的哪三項(xiàng)重點(diǎn)工作，（ ）、（ ）、（ ）、落實(shí)等級保護(hù)制度的各項(xiàng)要求？安全建設(shè)整改工作的主要特點(diǎn)？（ ）、（ ）、（ ）、（ ）說明信息安全等級保護(hù)基本要求中二級系統(tǒng)中技術(shù)要求的控制類有

12、多少？（ ）與三級系統(tǒng)中技術(shù)要求的控制類差異多少？（ ）另外二級系統(tǒng)中技術(shù)要求的網(wǎng)絡(luò)安全要求項(xiàng)有多少？（ ）與三級系統(tǒng)中技術(shù)要求的網(wǎng)絡(luò)安全要求項(xiàng)差異多少？（ ）判斷題（10分）信息系統(tǒng)等級保護(hù)的第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。（ ）在進(jìn)行信息安全測試中，我們一般不需要自己動手進(jìn)行測試。（ ）根據(jù)信息安全等圾保護(hù)管理辦法，第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)，國家有關(guān)信息安全職能部門對其信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)罾、檢查。（ ）Linux是一個支持單用戶、多進(jìn)程、多線程，實(shí)時性較好的功能強(qiáng)大而穩(wěn)定的操作系統(tǒng)

13、。（ ）根據(jù)信息安全等級保護(hù)管理辦法，信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)已確定的安全保護(hù)等級，依照本辦法和有關(guān)技術(shù)標(biāo)準(zhǔn)，使用符臺國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，進(jìn)行信息系統(tǒng)建設(shè)。（ ）Linux系統(tǒng)的shadow文件是不能被普通用戶讀取的，只有超級用戶才有權(quán)讀取。（ ）根據(jù)信息安全等級保護(hù)管理辦法，公安機(jī)關(guān)應(yīng)當(dāng)掌握信息系統(tǒng)運(yùn)營、使用單位的備案情況，發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)建議其予以糾正。（ ）根據(jù)信息安全等級保護(hù)管理辦法，公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知。（ ）在Oracle數(shù)據(jù)

14、庫系統(tǒng)中，查看標(biāo)簽創(chuàng)建情況：select * from dba_sa_labels。（ ）訪問控制是安全防范和保護(hù)的主要策略，它不僅應(yīng)用于網(wǎng)絡(luò)層面同樣也適用于主機(jī)層面。（ ）第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查屬于監(jiān)督保護(hù)圾。（ ）等圾保護(hù)的政策文件主要涵蓋了等級保護(hù)制度、定級、備案、等級測評、安全建設(shè)、監(jiān)督檢重等工作的各個環(huán)節(jié)，構(gòu)成了比較完備政策體系。（ ）管理辦法中信息系統(tǒng)重要程度的等級的概念，是信息安全等級保護(hù)工作中的系統(tǒng)定級和備案、安全建設(shè)整改、等級測評和監(jiān)督檢查等工作的依據(jù)。（ ）考慮到經(jīng)濟(jì)成本，在機(jī)房安裝過錄像監(jiān)控之后，可不再布置報警系統(tǒng)。（ ）依據(jù)GB/T22239-2008，三級信息系統(tǒng)應(yīng)對“系統(tǒng)管理數(shù)據(jù)”、“鑒別信息”和“重要業(yè)務(wù)數(shù)據(jù)”實(shí)現(xiàn)存儲保密性。（ ）公安部、國家保密局、國家密碼管理局、原國務(wù)院信息辦共同印發(fā)的信息安全等級保護(hù)管理辦法即43號文。（ ）在應(yīng)用系統(tǒng)現(xiàn)場等級測評活動中，不需要對應(yīng)用系統(tǒng)的安全功能進(jìn)行驗(yàn)證。（ ）對于測試過程可能造成的對目標(biāo)系統(tǒng)的網(wǎng)絡(luò)流量及主機(jī)性能等方面的影響，要實(shí)現(xiàn)告知被測系統(tǒng)相關(guān)人員。（ ）審計(jì)日志的主要功能是可以對安