信息安全等级测评师真题精选Word文档下载推荐.docx
《信息安全等级测评师真题精选Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《信息安全等级测评师真题精选Word文档下载推荐.docx(17页珍藏版)》请在冰点文库上搜索。
()
A.需要
B.不需要
[判断题]
6、口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。
对
7、《基本要求》分为技术要求和管理要求,其中技术要求包括物理安全、网络安全、主机系统安全、应用安全和()?
A.整体安全
B.数据安全
C.操作系统安全
D.数据库安全
B
8、《基本要求》中管理要求中,下面哪一个不是其中的内容?
A.安全管理机构
B.安全管理制度
C.人员安全管理
D.病毒安全管理
9、技术类安全要求按其保护的测重点不同,将依据三类控制点进行分类,其中S类代表是业务信息安全类,A类代表是什么?
A.通用安全保护等级
B.业务服务保证类(应为系统服务保证类)
C.用户服务保证类
D.业务安全保证类
10、物理层面安全要求包括物理位置、物理访问控制、防盗窃和防破坏等,其中不是物理安全范围的是什么?
A.防静电
B.防火
C.防水和防潮
D.防攻击
11、只要投资充足,技术措施完备,就能够保证百分之百的信息安全。
错
12、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能是几级要求。
A.一级
B.二级
C.三级
D.四级
13、《测评准则》和()是对用户系统测评的依据(《测评准则》现已被《测评要求》替代)
A.《信息系统安全等级保护实施指南》
B.《信息系统安全保护等级定级指南》
C.《信息系统安全等级保护基本要求》
D.《信息系统安全等级保护管理办法》
C
14、特权用户设置口令时,应当使用enablepassword命令设定具有管理员权限的口令。
15、应用安全包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性和()。
A.抗抵赖、软件容错、资源控制
B.不可否认性、软件容错、资源控制
C.抗抵赖、软件删除、资源控制
D.抗抵赖、软件容错、系统控制
16、安全管理机构包括()控制点。
A.3
B.4
C.5
D.6
17、脆弱性分析技术,也被通俗地称为漏洞扫描技术。
该技术是检测远程或本地系统安全脆弱性的一种安全技术。
18、《基本要求》是针对一至()级的信息系统给出基本的安全保护要求。
(注意《基本要求》第9章为空白)
A.2
B.3
C.4
D.5
19、基本要求的选择和使用中,定级结果为S3A2,保护类型应该是()。
A.S3A2G1
B.S3A2G2
C.S3A2G3
D.S3A2G4
20、结构安全是网络安全检查的重点,网络结构的安全关系到整体的安全。
21、二级信息系统保护要求的组合包括:
S1A2G2,S2A2G2,()。
A.S2A1G2
B.S1A2G3
C.S2A2G3
D.S2A3G2
更多内容请访问《睦霖题库》微信公众号
22、一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。
一旦发现计算机违法犯罪案件,信息系统所有者应在24小时内迅速向当地公安机关报案,并配合公安机关的取证和调查。
23、安全管理制度主要包括:
管理制度、制定和发布、()三个控制点。
A.评审和修订
B.修改
C.审核
D.阅读
24、数据安全包括:
数据完整性、数据保密性、()。
A.数据备份
B.数据机密性
C.数据不可否认性
D.数据删除性
25、电磁防护是()层面的要求。
A.网络
B.主机
C.系统
D.物理
26、不同vlan内的用户可以直接进行通信。
27、运营、使用单位应当参照《信息安全技术信息系统安全管理要求》GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》()管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
A.测评准则
B.基本要求
C.定级指南
D.实施指南
28、主机系统安全涉及的控制点包括:
身份鉴别、安全标记、访问控制、可信路径、安全审计等()个控制点。
A.8
B.9
C.10
D.7
主机系统安全涉及的控制点包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。
网络安全主要关注的方面包括:
网络结构、网络边界以及网络设备自身安全等,具体的控制点包括:
结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。
29、三级系统应能够对非授权设备私自连到内部网络的行为进行检查并准确定位.
30、数据安全及备份恢复涉及到()、()、()3个控制点。
A.数据完整性、数据保密性、备份和恢复
B.数据完整性、数据保密性、不可否认性
C.数据完整性、不可否认性、备份和恢复
D.不可否认性、数据保密性、备份和恢复
31、安全保障阶段中将信息安全体系归结为四个主要环节,下列()是正确的。
A.策略、保护、响应、恢复
B.加密、认证、保护、检测
C.策略、网络攻防、备份
D.保护、检测、响应、恢复
32、()标准为评估机构提供等级保护评估依据。
A.基本要求
B.测评指南
C.评估实施指南
D.定级指南
33、人员管理主要是对人员的录用、人员的离岗、()、安全意识教育和培训、第三方人员访问管理5个方面。
A.人员教育
B.人员裁减
C.人员考核
D.人员审核
34、安全管理制度包括管理制度、制定和发布和()。
A.审核
B.评审和修订
C.修订
D.评审
35、为了数据传输时不发生数据截获和信息泄密,采取了加密机制。
这种做法体现了信息安全的()属性。
A.保密性
B.完整性
C.可靠性
D.可用性
36、每个级别的信息系统按照()进行保护后,信息系统具有相应等级的基本安全保护能力,达到一种基本的安全状态。
B.分级要求
C.测评准则
37、环境管理、资产管理、介质管理都属于安全管理部分的()管理。
A.人员管理
B.安全管理机构
C.安全管理制度
D.系统运维管理
38、在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列()具有最好的口令复杂度。
A.Morrison
B.Wm.$*F2m5@
C.27776394
D.wangjing1977
39、系统建设管理中要求,对新建系统首先要进行(),在进行方案设计。
A.定级
B.规划
C.需求分析
D.测评
40、信息安全领域内最关键和最薄弱的环节是()。
A.技术
B.策略
C.管理制度
D.人
41、从()级系统开始,基本要求中有规定要作异地备份。
42、系统定级、安全方案设计、产品采购等是()部分要求。
A.系统建设管理
B.系统运维
C.数据安全
D.主机安全
43、公安部网络违法案件举报网站的网址是()。
C.http:
//
44、四级系统中,物理安全要求共有()项。
D.11
45、《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起()日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
A.7
B.10
C.15
D.30
46、《信息安全等级保护管理办法》中要求,第三级信息系统应当每年至少进行()次等级测评。
A.一
B.二
C.三
D.四
[多项选择题]
47、《信息安全等级保护管理办法》中要求第三级以上信息系统应当选择符合下列条件()的等级保护测评机构进行测评。
A.在中华人民共和国境内注册成立(港澳台地区除外);
B.由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
C.具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
D.工作人员仅限于中国公民。
A,B,C,D
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)从事相关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。
这道题的重点在于港澳台地区。
48、保证用户和进程完成自己的工作而又没有从事其他操作可能,这样能够使失误出错或蓄意袭击造成的危害降低,这通常被称为()。
A.适度安全原则
B.授权最小化原则
C.分权原则
D.木桶原则
49、《信息安全等级保护管理办法》中要求从事信息系统安全等级测评的机构,应当履行下列()义务。
A.遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果。
B.保守在测评活动中知悉的国家秘密、商业秘密和个人隐私。
C.防范测评风险。
D.对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
50、在《广东省公安厅关于计算机信息系统安全保护的实施办法》中规定第()级以上的计算机信息系统建设完成后,使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。
51、对于人员管理的描述错误的是()
A.人员管理是安全管理的重要环节
B.安全授权不是人员管理的手段
C.安全教育是人员管理的有力手段
D.人员管理时,安全审查是必须的
52、计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列资料的主要有()。
A.安全测评委托书。
B.定级报告。
C.计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。
D.安全策略文档。
53、向有限的空间输入超长的字符串是哪一种攻击手段?
A.缓冲区溢出
B.网络监听
C.拒绝服务
D.IP欺骗
54、信息安全等级测评机构对计算机信息系统进行使用前安全测评,应当预先报告()公共信息网络安全监察部门。
A.县级以上公安机关
B.地级以上市公安机关
C.省公安厅
D.公安部
55、根据BS7799的规定,访问控制机制在信息安全保障体系中属于()环节。
A.保护
B.检测
C.响应
D.恢复
56、信息安全等级测评机构有下列行为之一的(),由所在地公安机关公共信息网络安全监察部门责令改正,并予以通报。
对已办理备案的,收回备案证书。
触犯有关法律、法规和规章的,依法追究法律责任。
A.伪造、冒用信息安全等级测评机构备案证书的;
B.转让、转借信息安全等级测评机构备案证书的;
C.出具虚假、失实的信息安全等级测评结论的;
D.泄露测评活动中掌握的国家秘密、商业秘密和个人隐私的;
57、我国信息安全等级保护的内容包括()。
A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
B.对信息系统中使用的信息安全产品实行按等级管理
C.对信息安全从业人员实行按等级管理
D.对信息系统中发生的信息安全事件按照等级进行响应和处置
E.对信息安全违反行为实行按等级惩处
A,B,D
58、信息系统常见的危险有()。
A.软硬件设计故障导致网络瘫痪
B.黑客入侵
C.敏感信息泄露
D.信息删除
E.电子邮件发送
59、在互联网上的计算机病毒呈现出的特点是()。
A.与互联网更加紧密地结合,利用一切可以利用的方式进行传播
B.有的计算机病毒不具有破坏性。
C.扩散性极强,也更注重隐蔽性和欺骗性
D.针对系统漏洞进行传播和破坏
A,C,D
60、()是建立有效的计算机病毒防御体系所需要的技术措施。
A.杀毒软件
B.补丁管理系统
C.防火墙
D.网络入侵检测
E.漏洞扫描
A,B,C,D,E
升级会员 