全国信息网络安全专业技术人员继续教育培训教材.docx
《全国信息网络安全专业技术人员继续教育培训教材.docx》由会员分享,可在线阅读,更多相关《全国信息网络安全专业技术人员继续教育培训教材.docx(34页珍藏版)》请在冰点文库上搜索。
全国信息网络安全专业技术人员继续教育培训教材
全国信息网络安全专业技术人员继续教育培训教材
信息安全管理教程习题及答案
一、判断题
1.根据ISO13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。
(√)(课本1)
2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。
(×) (课本4)
(注释:
在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。
)
3.只要投资充足,技术措施完备,就能够保证百分之百的信息安全。
(×)
4.我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。
(√) (课本8)
5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。
(√)
(注释:
2003年7月22日,国家信息化领导小组第三次会议在北京召开。
中共中央政治局常委、国务院总理、国家信息化领导小组组长温家宝主持会议并作重要讲话。
2003年9月中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确指出:
“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
”)
6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。
(×) (课本18)
7.安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。
(√) (课本32)
8.windows2000/XP系统提供了口令安全策略,以对帐户口令安全进行保护。
(√)
9.信息安全等同于网络安全。
(×)
(注释:
ISO国际标准化组织对于信息安全给出了精确的定义,这个定义的描述是:
信息安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露)
10.GB17859与目前等级保护所规定的安全等级的含义不同,GB17859中等级划分为现在的等级保护奠定了基础。
(√) (课本76)
(注:
1999年,公安部正式发布信息系统安全等级保护的国家标准GB17859—1999,将计算机信息系统的安全级别明确划分为五级,这五级由高至低依次为:
访问验证保护级、结构化保护级、安全标记保护级、系统审计保护级、用户自主保护级。
根据《信息系统安全等级保护实施指南》的规定,信息系统可分为五个安全等级,分别是:
第1级自主保护级;第2级指导保护级;第3级监督保护级;第4级强制保护级;第5级专控保护级。
国家对不同级别的信息和信息系统实行不同强度的监管政策。
)
11.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。
(√)
12.PKI系统所有的安全操作都是通过数字证书来实现的。
(√)
(注:
PKI技术(PublicKeyInfrastructurez公钥基础设施,课本73)
13.PKI系统使用了非对称算法、对称算法和散列算法。
(√)(课本73)
14.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。
(√)(PPDRR模型)(课本5)
15.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。
(√)(课本29)
16.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。
(√)
17.按照BS7799标准,信息安全管理应当是一个持续改进的周期性过程。
(√)
18.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。
(√)
19.一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。
(×) (注:
应在24小时内报案)
20.定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。
(√)
21.网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。
(√)
22.网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。
(×)
23.防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。
(√)
(注:
防火墙是设置在不同网络或网络安全域之间的一道屏障。
它可以通过检测、限制更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的消息、结构和运行情况,以此来实现网络的安全保护。
防火墙不能阻止病毒,但能有效的防止网络攻击。
)
24.我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。
(×)
(注:
刑法有关计算机犯罪的规定,总体上可以分为两大类:
一类是纯粹的计算机犯罪,即刑法第285条、第286条单列的两种计算机犯罪独立罪名;另一类不是纯粹的计算机犯罪,而是隐含于其他犯罪罪名中的计算机犯罪形式。
例如,刑法第287条规定:
“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
”之所以要区分这两种类别,是因为第二类犯罪与传统犯罪之间并无本质区别,只是在犯罪工具使用上有所不同而已,因此不需要为其单列罪名,而第一类犯罪不仅在具体手段和侵犯客体方面与传统犯罪存在差别,而且有其特殊性,传统犯罪各罪名已无法包括这些犯罪形式,因此为其单列罪名。
)
25.信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。
(√)
(注:
ITIL是InformationTechnologyInfrastructureLibrary的简称,是由英国政府中央计算机与电信管理中心制订的,由英国商务部于1980年发布,已成为IT服务管理领域的标准,也是地地道道的西方产物,所以在中国遇到的最大推广瓶颈就是中西方的文化差异。
)
26.美国国家标准技术协会NIST发布的《SP800-30》中详细阐述了IT系统风险管理内容。
(√)
(注:
SP800-30是《信息技术系统风险管理的指南》本指南为制定有效的风险管理项目提供了基础信息,包括评估和消减IT系统风险所需的定义和实务指导)
27.防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。
(√)
28.通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。
(√)
(课本96)
29.脆弱性分析技术,也被通俗地称为漏洞扫描技术。
该技术是检测远程或本地系统安全脆弱性的一种安全技术。
(√) (课本68)
二、单选题
1.下列关于信息的说法____是错误的。
A 信息是人类社会发展的重要支柱 B 信息本身是无形的
C 信息具有价值,需要保护 D 信息可以以独立形态存在
2.信息安全经历了三个发展阶段,以下____不属于这三个发展阶段。
A 通信保密阶段 B 加密机阶段 C 信息安全阶段 D 安全保障阶段
3.信息安全在通信保密阶段对信息安全的关注局限在____安全属性。
A 不可否认性 B 可用性 C 保密性 D 完整性
4.信息安全在通信保密阶段中主要应用于____领域。
A 军事 B 商业 C 科研 D 教育
5.信息安全阶段将研究领域扩展到三个基本属性,下列____不属于这三个基本属性。
A 保密性 B 完整性 C 不可否认性 D 可用性
6.安全保障阶段中将信息安全体系归结为四个主要环节,下列____是正确的。
A 策略、保护、响应、恢复 B 加密、认证、保护、检测
C 策略、网络攻防、密码学、备份 D 保护、检测、响应、恢复
7.下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。
A 杀毒软件 B 数字证书认证 C 防火墙 D 数据库加密
8.根据ISO的信息安全定义,下列选项中____是信息安全三个基本属性之一。
A 真实性 B 可用性 C 可审计性 D 可靠性
9.为了数据传输时不发生数据截获和信息泄密,采取了加密机制。
这种做法体现了信息安全的____属性。
A 保密性 B 完整性 C 可靠性 D 可用性
10.定期对系统和数据进行备份,在发生灾难时进行恢复。
该机制是为了满足信息安全的____属性。
A 真实性 B 完整性 C 不可否认性 D 可用性
11.数据在存储过程中发生了非法访问行为,这破坏了信息安全的____属性。
A 保密性 B 完整性 C 不可否认性 D 可用性
12.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的____属性。
A 保密性 B 完整性 C 不可否认性 D 可用性
13.PDR安全模型属于____类型。
A 时间模型 B 作用模型 C 结构模型 D 关系模型
14.《信息安全国家学说》是____的信息安全基本纲领性文件。
A 法国 B 美国 C 俄罗斯 D 英国
15.下列的____犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。
A 窃取国家秘密 B 非法侵入计算机信息系统 C 破坏计算机信息系统 D 利用计算机实施金融诈骗
16.我国刑法____规定了非法侵入计算机信息系统罪。
A 第284条 B 第285条 C 第286条 D 第287条
(第285条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
)
17.信息安全领域内最关键和最薄弱的环节是____。
A 技术 B 策略 C 管理制度 D 人
18.信息安全管理领域权威的标准是____。
A ISO15408 B ISO17799/IS027001 C IS09001 D ISO14001
19.S017799/IS027001最初是由____提出的国家标准。
A 美国 B 澳大利亚 C 英国 D 中国
20.IS017799的内容结构按照____进行组织。
A 管理原则 B 管理框架 C 管理域一控制目标一控制措施 D 管理制度
21.____对于信息安全管理负有责任。
A 高级管理层 B 安全管理员 C IT管理员 D 所有与信息系统有关人员
22.对于提高人员安全意识和安全操作技能来说,以下所列的安全管理最有效的是____。
A安全检查 B教育与培训 C责任追究 D制度约束
23.《计算机信息系统安全保护条例》是由中华人民共和国____第147号发布的。
A 国务院令 B 全国人民代表大会令C 公安部令D 国家安全部令
(注:
147号国务院令李鹏总理1994年2月18日签发)
24.《互联网上网服务营业场所管理条例》规定,____负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。
A 人民法院 B 公安机关 C 工商行政管理部门 D 国家安全部门
25.计算机病毒最本质的特性是____。
A 寄生性 B 潜伏性 C 破坏性 D 攻击性
26.____安全策略是得到大部分需求的支持并同时能够保护企业的利益。
A 有效的 B 合法的 C 实际的 D 成熟的
27.在PDR安全模型中最核心的组件是____。
A 策略 B 保护措施 C 检测措施 D 响应措施
28.制定灾难恢复策略,最重要的是要知道哪些是商务工作中最重要的设施,在发生灾难后,这些设施的____。
A 恢复预算是多少 B 恢复时间是多长 C 恢复人员有几个 D 恢复设备有多少
29.在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的成果文档被称为___.
A 可接受使用策略AUP B 安全方针 C 适用性声明 D 操作规范
30.对保护数据来说,功能完善、使用灵活的---必不可少。
A.系统软件 B.备份软件C.数据库软件 D.网络软件
31.防止静态信息被非授权访问和防止动态信息被截取解密是____。
A 数据完整性 B 数据可用性 C 数据可靠性 D 数据保密性
32.用户身份鉴别是通过____完成的。
A 口令验证 B 审计策略 C 存取控制 D 查询功能
33.故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以。
A 3年以下有期徒刑或拘役 B 警告或者处以5000元以下的罚款
C 5年以上7年以下有期徒刑 D 警告或者15000元以下的罚款
34.网络数据备份的实现主要需要考虑的问题不包括____。
A 架设高速局域网 B 分析应用环境 C 选择备份硬件设备 D 选择备份管理软件
35.《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在____向当地县级以上人民政府公安机关报告。
A 8小时内 B 12小时内 C 24小时内 D 48小时内
36.公安部网络违法案件举报网站的网址是____。
A B
C D
37.对于违反信息安全法律、法规行为的行政处罚中,____是较轻的处罚方式。
A 警告 B 罚款 C 没收违法所得 D 吊销许可证
38.对于违法行为的罚款处罚,属于行政处罚中的____。
A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚
39.对于违法行为的通报批评处罚,属于行政处罚中的____。
A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚
40.1994年2月国务院发布的《计算机信息系统安全保护条例》赋予____对计算机信息系统的安全保护工作行使监督管理职权。
A 信息产业部 B 全国人大 C 公安机关 D 国家工商总局
41.《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起____日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
A 7 B 10 C 15 D 30
42.互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存____天记录备份的功能。
A 10 天 B 30天 C 60天 D 90天
43.对网络层数据包进行过滤和控制的信息安全技术机制是____。
A 防火墙 B IDS C Sniffer D IPSec
44.下列不属于防火墙核心技术的是____。
A (静态/动态)包过滤技术 B NAT技术(NetworAddressTranslation,可译为网络地址转换或网络地址翻译)
C 应用代理技术 D 日志审计
45.应用代理防火墙的主要优点是____。
A 加密强度更高 B 安全控制更细化、更灵活
C 安全服务的透明性更好 D 服务对象更广泛
46.安全管理中经常会采用“权限分离”的办法,防止单个人员权限过高,出现内部人员的违法犯罪行为,“权限分离”属于____控制措施。
A 管理 B 检测 C 响应 D 运行
47.安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为,属于____控制措施。
A 管理 B 检测 C 响应 D 运行
48.下列选项中不属于人员安全管理措施的是____。
A 行为监控 B 安全培训 C 人员离岗 D 背景/技能审查
49.计算机病毒防治管理办法》规定,____主管全国的计算机病毒防治管理工作。
A 信息产业部 B 国家病毒防范管理中心
C 公安部公共信息网络安全监察 D 国务院信息化建设领导小组
50.计算机病毒的实时监控属于____类的技术措施。
A 保护 B 检测 C 响应 D 恢复
51.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____。
A 防火墙隔离 B 安装安全补丁程序
C 专用病毒查杀工具 D 部署网络入侵检测系统
52.下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是____。
A 防火墙隔离 B 安装安全补丁程序 C 专用病毒查杀工具 D 部署网络入侵检测系统
53.下列不属于网络蠕虫病毒的是____。
A 冲击波 B SQLSLAMMER C CIH D 振荡波
54.传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了____等重要网络资源。
A 网络带宽 B 数据包 C 防火墙 D LINUX
55.不是计算机病毒所具有的特点____。
A 传染性 B 破坏性 C 潜伏性 D 可预见性
56.关于灾难恢复计划错误的说法是____。
A 应考虑各种意外情况 B 制定详细的应对处理办法
C 建立框架性指导原则,不必关注于细节 D 正式发布前,要进行讨论和评审
57.对于远程访问型VPN来说,____产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A IPSecVPN B SSLVPN C MPLSVPN D L2TPVPN
58.1999年,我国发布的第一个信息安全等级保护的国家标准GB17859—1999,提出将信息系统的安全等级划分为____个等级,并提出每个级别的安全功能要求。
(计算机信息系统安全保护等级划分准则)
A 7 B 8 C 6 D 5
59.等级保护标准GBl7859主要是参考了____而提出。
A 欧洲ITSEC B 美国TCSEC C CC D BS7799
60.我国在1999年发布的国家标准____为信息安全等级保护奠定了基础。
A GB17799 B GB15408 C GB17859 D GB14430
61.信息安全等级保护的5个级别中,____是最高级别,属于关系到国计民生的最关键信息系统的保护。
A 强制保护级 B 专控保护级 C 监督保护级 D 指导保护级 E 自主保护级
62.《信息系统安全等级保护实施指南》将____作为实施等级保护的第一项重要内容。
A 安全定级 B 安全评估 C 安全规划 D 安全实施
63.____是进行等级确定和等级保护管理的最终对象。
A 业务系统 B 功能模块 C 信息系统 D 网络系统
64.当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由____所确定。
A 业务子系统的安全等级平均值 B 业务子系统的最高安全等级
C 业务子系统的最低安全等级 D 以上说法都错误
65.下列关于风险的说法,____是错误的。
A 风险是客观存在的 B 导致风险的外因是普遍存在的安全威胁
C 导致风险的外因是普遍存在的安全脆弱性 D 风险是指一种可能性
66.下列关于风险的说法,____是正确的。
A 可以采取适当措施,完全清除风险 B 任何措施都无法完全清除风险
C 风险是对安全事件的确定描述 D 风险是固有的,无法被控制
67.风险管理的首要任务是____。
A 风险识别和评估 B 风险转嫁 C 风险控制 D 接受风险
68.关于资产价值的评估,____说法是正确的。
A 资产的价值指采购费用 B 资产的价值无法估计
C 资产价值的定量评估要比定性评估简单容易 D 资产的价值与其重要性密切相关
69.采取适当的安全控制措施,可以对风险起到____作用。
A 促进 B 增加 C 减缓 D 清除
70.当采取了安全控制措施后,剩余风险____可接受风险的时候,说明风险管理是有效的。
A 等于 B 大于 C 小于 D 不等于
71.安全威胁是产生安全事件的____。
A 内因 B 外因 C 根本原因 D 不相关因素
72.安全脆弱性是产生安全事件的____。
A 内因 B 外因 C 根本原因 D 不相关因素
73.下列关于用户口令说法错误的是____。
A 口令不能设置为空 B 口令长度越长,安全性越高
C 复杂口令安全性足够高,不需要定期修改 D 口令认证是最常见的认证机制
74.在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列____具有最好的口令复杂度。
A morrison B Wm.$*F2m5@ C 27776394 D wangjingl977
75.按照通常的口令使用策略,口令修改操作的周期应为____天。
A 60 B 90 C 30 D 120
76.对口令进行安全性管理和使用,最终是为了____。
A 口令不被攻击者非法获得 B 防止攻击者非法获得访问和操作权限
C 保证用户帐户的安全性 D 规范用户操作行为
77.人们设计了____,以改善口令认证自身安全性不足的问题。
A 统一身份管理 B 指纹认证 C 数字证书认证 D动态口令认证机制
78.PKI是____。
A PrivateKeylnfras
升级会员 